Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la autenticación mutua en BIOTRONIK CardioMessenger II (CVE-2019-18246)

Fecha de publicación:
29/06/2020
Idioma:
Español
BIOTRONIK CardioMessenger II, los productos afectados no aplican correctamente la autenticación mutua con la infraestructura de comunicación remota de BIOTRONIK
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2021

Vulnerabilidad en cambio a canal de comunicación cifrado en BIOTRONIK CardioMessenger II (CVE-2019-18248)

Fecha de publicación:
29/06/2020
Idioma:
Español
BIOTRONIK CardioMessenger II, los productos afectados transmiten credenciales en texto sin cifrar antes de cambiar a un canal de comunicación cifrado. Un atacante puede revelar las credenciales del cliente del producto para conectarse a la infraestructura de Comunicación Remota de BIOTRONIK
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2021

Vulnerabilidad en la reutilización de credenciales en acceso adyacente al BIOTRONIK CardioMessenger II (CVE-2019-18252)

Fecha de publicación:
29/06/2020
Idioma:
Español
BIOTRONIK CardioMessenger II, los productos afectados permiten la reutilización de credenciales para múltiples propósitos de autenticación. Un atacante con acceso adyacente al CardioMessenger puede revelar sus credenciales usadas para conectarse a la infraestructura de Comunicación Remota de BIOTRONIK
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2021

Vulnerabilidad en openSUSE Tumbleweed en el paquete de kopano-spamd de openSUSE Leap (CVE-2020-8014)

Fecha de publicación:
29/06/2020
Idioma:
Español
Una Vulnerabilidad de Seguimiento Enlace Simbólico de UNIX (Symlink) en el paquete de kopano-spamd de openSUSE Leap 15.1, openSUSE Tumbleweed permitió a atacantes locales con los privilegios del usuario de kopano escalar a root. Este problema afecta: kopano-spamd de openSUSE Leap 15.1 versiones anteriores a 10.0.5-lp151.4.1. kopano-spamd de openSUSE Tumbleweed versiones anteriores a 10.0.5-1.1
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2020

Vulnerabilidad en osc de SUSE Linux Enterprise Module for Development Tools 15, SUSE Linux Enterprise Software Development Kit 12-SP5 , SUSE Linux Enterprise Software Development Kit 12-SP4, openSUSE Leap 15.1, openSUSE Factory (CVE-2019-3681)

Fecha de publicación:
29/06/2020
Idioma:
Español
Una vulnerabilidad de Control Externo de Nombre de Archivo o Ruta en osc de SUSE Linux Enterprise Module for Development Tools 15, SUSE Linux Enterprise Software Development Kit 12-SP5, SUSE Linux Enterprise Software Development Kit 12-SP4; openSUSE Leap 15.1, openSUSE Factory, permitió a atacantes remotos que pueden cambiar los paquetes descargados para sobrescribir archivos arbitrarios. Este problema afecta: osc de SUSE Linux Enterprise Module for Development Tools 15 versiones anteriores a 0.169.1-3.20.1. osc de SUSE Linux Enterprise Software Development Kit 12-SP5 versiones anteriores a 0.162.1-15.9.1. osc de SUSE Linux Enterprise Software Development Kit 12-SP4 versiones anteriores a 0.162.1-15.9.1. osc de openSUSE Leap 15.1 versiones anteriores a 0.169.1-lp151.2.15.1. osc de openSUSE Factory versiones anteriores a 0.169.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2020

Vulnerabilidad en el paquete de syslog-ng de SUSE Linux Enterprise Debuginfo, SUSE Linux Enterprise Module for Legacy Software, SUSE Linux Enterprise Point of Sale, SUSE Linux Enterprise Server, SUSE Linux Enterprise Server for SAP, OpenSUSE Backports y openSUSE Leap (CVE-2020-8019)

Fecha de publicación:
29/06/2020
Idioma:
Español
Una vulnerabilidad de Seguimiento de Enlace Simbólico de UNIX (Symlink), en el paquete de syslog-ng de SUSE Linux Enterprise Debuginfo 11-SP3, SUSE Linux Enterprise Debuginfo 11-SP4, SUSE Linux Enterprise Module for Legacy Software versión 12, SUSE Linux Enterprise Point of Sale versión 11- SP3, SUSE Linux Enterprise Server 11-SP4-LTSS, SUSE Linux Enterprise Server for SAP versión 12-SP1; openSUSE Backports versión SLE-15-SP1, openSUSE Leap versión 15.1, permitió a atacantes locales que controlaban las noticias de usuarios escalar sus privilegios a root. Este problema afecta a: syslog-ng de SUSE Linux Enterprise Debuginfo 11-SP3 versiones anteriores a 2.0.9-27.34.40.5.1. syslog-ng de SUSE Linux Enterprise Debuginfo 11-SP4 versiones anteriores a 2.0.9-27.34.40.5.1. syslog-ng de SUSE Linux Enterprise Module for Legacy Software 12 versiones anteriores a 3.6.4-12.8.1. syslog-ng de SUSE Linux Enterprise Point of Sale 11-SP3 versiones anteriores a 2.0.9-27.34.40.5.1. syslog-ng de SUSE Linux Enterprise Server 11-SP4-LTSS versiones anteriores a 2.0.9-27.34.40.5.1. syslog-ng de SUSE Linux Enterprise Server for SAP 12-SP1 versiones anteriores a 3.6.4-12.8.1. syslog-ng de OpenSUSE Backports SLE-15-SP1 versiones anteriores a 3.19.1-bp151.4.6.1. syslog-ng de openSUSE Leap 15.1 versiones anteriores a 3.19.1-lp151.3.6.1
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2020

Vulnerabilidad en el paquete tomcat de SUSE Enterprise Storage, SUSE Linux Enterprise Server, SUSE OpenStack Cloud y OpenStack Cloud Crowbar (CVE-2020-8022)

Fecha de publicación:
29/06/2020
Idioma:
Español
Una vulnerabilidad de Permisos Predeterminados Incorrectos en el paquete tomcat en SUSE Enterprise Storage 5, SUSE Linux Enterprise Server 12-SP2-BCL, SUSE Linux Enterprise Server 12-SP2-LTSS, SUSE Linux Enterprise Server 12-SP3-BCL, SUSE Linux Enterprise Server 12-SP3-LTSS, SUSE Linux Enterprise Server 12-SP4, SUSE Linux Enterprise Server 12-SP5, SUSE Linux Enterprise Server 15-LTSS, SUSE Linux Enterprise Server for SAP 12-SP2, SUSE Linux Enterprise Server for SAP 12-SP3, SUSE Linux Enterprise Server for SAP 15, SUSE OpenStack Cloud 7, SUSE OpenStack Cloud 8, SUSE OpenStack Cloud Crowbar 8, permite a atacantes locales escalar del grupo tomcat a root. Este problema afecta a: tomcat de SUSE Enterprise Storage 5 versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE Linux Enterprise Server 12-SP2-BCL versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE Linux Enterprise Server 12-SP2-LTSS versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE Linux Enterprise Server 12-SP3-BCL versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE Linux Enterprise Server 12-SP3-LTSS versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE Linux Enterprise Server 12-SP4 versiones anteriores a 9.0.35-3.39.1. tomcat de SUSE Linux Enterprise Server 12-SP5 versiones anteriores a 9.0.35-3.39.1. tomcat de SUSE Linux Enterprise Server 15-LTSS versiones anteriores a 9.0.35-3.57.3. tomcat de SUSE Linux Enterprise Server for SAP 12-SP2 versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE Linux Enterprise Server for SAP 12-SP3 versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE Linux Enterprise Server for SAP 15 versiones anteriores a 9.0.35-3.57.3. tomcat de SUSE OpenStack Cloud 7 versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE OpenStack Cloud 8 versiones anteriores a 8.0.53-29.32.1. tomcat de SUSE OpenStack Cloud Crowbar 8 versiones anteriores a 8.0.53-29.32.1
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el paquete de hylafax+ de openSUSE Leap 15.2, openSUSE Leap 15.1, openSUSE Factory (CVE-2020-8024)

Fecha de publicación:
29/06/2020
Idioma:
Español
Una vulnerabilidad de Permisos Predeterminados Incorrectos en el paquete de hylafax+ de openSUSE Leap 15.2, openSUSE Leap 15.1, openSUSE Factory, permite a atacantes locales escalar desde un usuario uucp a usuarios que llaman binarios de hylafax. Este problema afecta: hylafax+ de openSUSE Leap versiones 15.2 anteriores a 7.0.2-lp152.2.1. hylafax+ de openSUSE Leap 15.1 versiones 5.6.1-lp151.3.7 y anteriores. hylafax+ de openSUSE Factory versiones anteriores a 7.0.2-2.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/07/2020

Vulnerabilidad en Issue Navigator Basic Search en Atlassian Jira Server y Data Center (CVE-2019-20414)

Fecha de publicación:
29/06/2020
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center, permiten a atacantes remotos inyectar HTML o JavaScript arbitrarios por medio de una vulnerabilidad de tipo cross site scripting (XSS) en Issue Navigator Basic Search. Las versiones afectadas son anteriores a la versión 7.13.9 y desde la versión 8.0.0 anteriores a 8.4.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en la funcionalidad de restricción de comentarios en Atlassian Jira Server y Data Center (CVE-2019-20410)

Fecha de publicación:
29/06/2020
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center, permiten a atacantes remotos visualizar información confidencial por medio de una vulnerabilidad de divulgación de información en la funcionalidad de restricción de comentarios. Las versiones afectadas son anteriores a la versión 7.6.17, desde la versión 7.7.0 anteriores a 7.13.9, y desde la versión 8.0.0 anteriores a 8.4.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en la configuración de Wallboard en Atlassian Jira Server y Data Center (CVE-2019-20411)

Fecha de publicación:
29/06/2020
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center, permiten a atacantes remotos modificar la configuración de Wallboard por medio de una vulnerabilidad de tipo Cross-site request forgery (CSRF). Las versiones afectadas son anteriores a la versión 7.13.9 y desde la versión 8.0.0 anteriores a 8.4.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en la página Convert Sub-Task to Issue en Atlassian Jira Server y Data Center (CVE-2019-20412)

Fecha de publicación:
29/06/2020
Idioma:
Español
La página Convert Sub-Task to Issue en las versiones afectadas de Atlassian Jira Server y Data Center, permite a atacantes remotos enumerar la siguiente información por medio de una vulnerabilidad de autenticación incorrecta: Workflow names; Project Key, si forma parte del nombre del flujo de trabajo; Issue Keys; Issue Types; Status Types Las versiones afectadas son anteriores a la versión 7.13.9 y desde la versión 8.0.0 anteriores a 8.4.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022