Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en /goform/login_process en Reprise RLM (CVE-2021-44155)
Fecha de publicación:
13/12/2021
Idioma:
Español
Se ha detectado un problema en /goform/login_process en Reprise RLM versión 14.2. Cuando un atacante intenta iniciar sesión, la respuesta si un nombre de usuario es válido incluye Login Failed, pero no incluye esta cadena si el nombre de usuario no es válido. Esto permite a un atacante enumerar usuarios válidos
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en /goform/change_password_process en Reprise RLM (CVE-2021-44152)
Fecha de publicación:
13/12/2021
Idioma:
Español
Se ha detectado un problema en Reprise RLM versión 14.2. Debido a que /goform/change_password_process no verifica la autenticación o la autorización, un usuario no autenticado puede cambiar la contraseña de cualquier usuario presente. Esto permite a un atacante cambiar la contraseña de cualquier usuario conocido, impidiendo así que los usuarios válidos accedan al sistema y concediendo al atacante acceso completo a la cuenta de ese usuario
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/08/2023

Vulnerabilidad en la cookie de sesión de caracteres hexadecimales en Reprise RLM (CVE-2021-44151)
Fecha de publicación:
13/12/2021
Idioma:
Español
Se ha detectado un problema en Reprise RLM versión 14.2. Como las cookies de sesión son pequeñas, un atacante puede secuestrar cualquier sesión presente forzando la cookie de sesión de 4 caracteres hexadecimales en la versión de Windows (la versión de Linux parece tener 8 caracteres). Un atacante puede obtener la parte estática de la cookie (nombre de la cookie) al hacer primero una petición a cualquier página de la aplicación (por ejemplo, /goforms/menú) y guardando el nombre de la cookie enviada con la respuesta. El atacante puede entonces usar el nombre de la cookie e intentar solicitar esa misma página, estableciendo un valor aleatorio para la cookie. Si algún usuario presenta una sesión activa, la página debería volver con el contenido autorizado, cuando se encuentre un valor de cookie válido
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en la subcadena /about/../ en los dispositivos Auerswald COMfortel 1400 IP y 2600 IP (CVE-2021-40856)
Fecha de publicación:
13/12/2021
Idioma:
Español
Los dispositivos Auerswald COMfortel 1400 IP y 2600 IP versiones anteriores a 2.8G, permiten omitir la autenticación por medio de la subcadena /about/../
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en /changePassword en Cibele Thinfinity VirtualUI (CVE-2021-44848)
Fecha de publicación:
13/12/2021
Idioma:
Español
En Cibele Thinfinity VirtualUI versiones anteriores a 3.0, /changePassword devuelve diferentes respuestas para peticiones de autenticación no válidas dependiendo de si el nombre de usuario se presenta
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en la cola de prioridad TCP en el módulo TCP Server en toxcore (CVE-2018-25021)
Fecha de publicación:
13/12/2021
Idioma:
Español
El módulo TCP Server en toxcore versiones anteriores a 0.2.8, no libera la cola de prioridad TCP bajo determinadas condiciones, lo que permite a un atacante remoto agotar la memoria del sistema, causando una denegación de servicio (DoS)
Gravedad CVSS v3.1: ALTA
Última modificación:
08/02/2022

Vulnerabilidad en el módulo Onion en toxcore (CVE-2018-25022)
Fecha de publicación:
13/12/2021
Idioma:
Español
El módulo Onion en toxcore versiones anteriores a 0.2.2, no restringe los paquetes que pueden ser enrutados en forma onion, lo que permite a un atacante remoto detectar la dirección IP de un usuario objetivo (cuando sólo conoce su Tox Id) al posicionarse cerca del Tox Id del objetivo en el DHT para que el objetivo establezca una conexión en forma onion con el atacante, adivinando la clave pública del DHT del objetivo y creando un nodo DHT con clave pública cerca de él, y finalmente enrutando en forma de cebolla una solicitud de ping NAT al objetivo, pidiéndole que haga ping al nodo DHT recién creado
Gravedad CVSS v3.1: BAJA
Última modificación:
08/02/2022

Vulnerabilidad en un paquete de red en el archivo DHT.c en la función handle_request en toxcore (CVE-2021-44847)
Fecha de publicación:
13/12/2021
Idioma:
Español
Un desbordamiento del búfer en la región stack de la memoria en la función handle_request en el archivo DHT.c en toxcore versiones 0.1.9 hasta 0.1.11 y 0.2.0 hasta 0.2.12, (causado por un cálculo inapropiado de la longitud durante el manejo de los paquetes de red recibidos) permite a atacantes remotos bloquear el proceso o ejecutar potencialmente código arbitrario por medio de un paquete de red
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo de configuración en el CLI para Amazon AWS OpenSearch (CVE-2021-44833)
Fecha de publicación:
12/12/2021
Idioma:
Español
El CLI 1.0.0 para Amazon AWS OpenSearch presenta permisos débiles para el archivo de configuración
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/12/2021

Vulnerabilidad en un token ACL en HashiCorp Consul Enterprise (CVE-2021-41805)
Fecha de publicación:
12/12/2021
Idioma:
Español
HashiCorp Consul Enterprise versiones anteriores a 1.8.17, 1.9.x anteriores a 1.9.11 y 1.10.x anteriores a 1.10.4, presenta un Control de Acceso Incorrecto. Un token ACL (con el operador predeterminado: permisos de escritura) en un espacio de nombres puede ser usado para una escalada de privilegios no intencionada en un espacio de nombres diferente
Gravedad CVSS v3.1: ALTA
Última modificación:
31/03/2022

Vulnerabilidad en Zoho ManageEngine Desktop Central (CVE-2021-44515)
Fecha de publicación:
12/12/2021
Idioma:
Español
Zoho ManageEngine Desktop Central es vulnerable a una omisión de autenticación, conllevando a una ejecución de código remota en el servidor, como es explotada "in the wild" en diciembre de 2021. Para las versiones Enterprise 10.1.2127.17 y anteriores, actualice a 10.1.2127.18. Para las versiones 10.1.2128.0 a 10.1.2137.2 de Enterprise, actualice a 10.1.2137.3. Para las versiones de MSP 10.1.2127.17 y anteriores, actualice a 10.1.2127.18. Para las versiones de MSP 10.1.2128.0 a 10.1.2137.2, actualice a 10.1.2137.3
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/10/2025

Vulnerabilidad en phpservermon (CVE-2021-4097)
Fecha de publicación:
12/12/2021
Idioma:
Español
phpservermon es vulnerable a una Neutralización Inapropiada de Secuencias CRLF
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/12/2021
Suscribirse a Vulnerabilidades