Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2021-43394

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** Unisys OS 2200 Messaging Integration Services (NTSI) 7R3B IC3 and IC4, 7R3C, and 7R3D has an Incorrect Implementation of an Authentication Algorithm. An LDAP password is not properly validated.

CVE-2022-0177

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** Cross-site Scripting (XSS) - DOM in GitHub repository mrdoob/three.js prior to 0.137.0.

CVE-2021-36343

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** Dell BIOS contains an improper input validation vulnerability. A local authenticated malicious user may potentially exploit this vulnerability by using an SMI to gain arbitrary code execution in SMRAM.

CVE-2021-36342

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** Dell BIOS contains an improper input validation vulnerability. A local authenticated malicious user may potentially exploit this vulnerability by using an SMI to gain arbitrary code execution in SMRAM.

CVE-2020-17383

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** A directory traversal vulnerability on Telos Z/IP One devices through 4.0.0r grants an unauthenticated individual root level access to the device's file system. This can be used to identify configuration settings, password hashes for built-in accounts, and the cleartext password for remote configuration of the device through the WebUI.

CVE-2022-21715

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** CodeIgniter4 is the 4.x branch of CodeIgniter, a PHP full-stack web framework. A cross-site scripting (XSS) vulnerability was found in `API\ResponseTrait` in Codeigniter4 prior to version 4.1.8. Attackers can do XSS attacks if a potential victim is using `API\ResponseTrait`. Version 4.1.8 contains a patch for this vulnerability. There are two potential workarounds available. Users may avoid using `API\ResponseTrait` or `ResourceController` Users may also disable Auto Route and use defined routes only.

CVE-2022-22554

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** Dell EMC System Update, version 1.9.2 and prior, contain an Unprotected Storage of Credentials vulnerability. A local attacker with user privleges could potentially exploit this vulnerability leading to the disclosure of user passwords.

CVE-2022-21711

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** elfspirit is an ELF static analysis and injection framework that parses, manipulates, and camouflages ELF files. When analyzing the ELF file format in versions prior to 1.1, there is an out-of-bounds read bug, which can lead to application crashes or information leakage. By constructing a special format ELF file, the information of any address can be leaked. elfspirit version 1.1 contains a patch for this issue.

CVE-2022-21710

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** ShortDescription is a MediaWiki extension that provides local short description support. A cross-site scripting (XSS) vulnerability exists in versions prior to 2.3.4. On a wiki that has the ShortDescription enabled, XSS can be triggered on any page or the page with the action=info parameter, which displays the shortdesc property. This is achieved using the wikitext `{{SHORTDESC:<img src=x onerror=alert()>}}`. This issue has a patch in version 2.3.4.

CVE-2021-46451

Gravedad: 
Sin asignar
Fecha publicación : 
24/01/2022
Última modificación: 
24/01/2022
Descripción:  
*** Pendiente de traducción *** An SQL Injection vulnerabilty exists in Sourcecodester Online Project Time Management System 1.0 via the pid parameter in the load_file function.

Páginas