Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el componente RMC de HPE Superdome Flex (CVE-2020-7137)
Fecha de publicación:
19/05/2020
Idioma:
Español
Un problema de comprobación en el componente RMC de HPE Superdome Flex, puede permitir una elevación local de privilegios. Aplique HPE Superdome Flex Server versiones 3.25.46 o superiores para resolver este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2020

Vulnerabilidad en HPE Nimble Storage en NimbleOS (CVE-2020-7139)
Fecha de publicación:
19/05/2020
Idioma:
Español
Se han identificado potenciales vulnerabilidades de seguridad en el acceso remoto con los sistemas HPE Nimble Storage que podrían ser explotadas por un atacante para acceder y modificar información confidencial del sistema. Las siguientes versiones de NimbleOS, y todas las posteriores, contienen una corrección de software para esta vulnerabilidad: 3.9.3.0 4.5.6.0 5.0.9.0 5.1.4.100
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en HPE Nimble Storage en NimbleOS (CVE-2020-7138)
Fecha de publicación:
19/05/2020
Idioma:
Español
Se han identificado potenciales vulnerabilidades de seguridad en la ejecución de código remota con los sistemas HPE Nimble Storage que podrían ser explotadas por un atacante para alcanzar privilegios elevados en la matriz. Las siguientes versiones de NimbleOS, y todas las posteriores, contienen una corrección de software para esta vulnerabilidad: 3.9.3.0 4.5.6.0 5.0.9.0 5.1.4.100
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la máquina de eventos de la biblioteca en un certificado de servidor TLS en em-imap (CVE-2020-13163)
Fecha de publicación:
19/05/2020
Idioma:
Español
em-imap versión 0.5, usa la máquina de eventos de la biblioteca de una manera no segura que permite a un atacante llevar a cabo un ataque de tipo man-in-the-middle contra los usuarios de la biblioteca. El nombre de host en un certificado de servidor TLS no está verificado.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2021

Vulnerabilidad en el objeto COM EDSParser en diversos productos que usan EDS Subsystem en Rockwell Automation (CVE-2020-12038)
Fecha de publicación:
19/05/2020
Idioma:
Español
Productos que usan EDS Subsystem: versión 28.0.1 y anteriores (software FactoryTalk Linx (anteriormente llamado RSLinx Enterprise): versiones 6.00, 6.10 y 6.11, RSLinx Classic: versión 4.11.00 y anteriores, software RSNetWorx: versión 28.00.00 y anteriores , software Studio 5000 Logix Designer: versión 32 y anteriores), es vulnerable. Se presenta una vulnerabilidad de corrupción de memoria en el algoritmo que coincide con los corchetes en el subsistema EDS. Esto puede permitir a un atacante crear archivos EDS especializados para bloquear el objeto COM EDSParser, conllevando a condiciones de denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/09/2021

Vulnerabilidad en el archivo epan/dissectors/packet-nfs.c en el disector NFS en Wireshark (CVE-2020-13164)
Fecha de publicación:
19/05/2020
Idioma:
Español
En Wireshark versiones 3.2.0 hasta 3.2.3, 3.0.0 hasta 3.0.10 y 2.6.0 hasta 2.6.16, el disector NFS podría bloquearse. Esto se abordó en el archivo epan/dissectors/packet-nfs.c impidiendo la recurrencia excesiva, como por ejemplo, un ciclo en el gráfico de directorio en un sistema de archivos.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo de imagen subyacente en el host en Cloud Hypervisor en Kata Containers (CVE-2020-2025)
Fecha de publicación:
19/05/2020
Idioma:
Español
Kata Containers versiones anteriores a 1.11.0, en Cloud Hypervisor persisten cambios del sistema de archivos invitado en el archivo de imagen subyacente en el host. Un invitado malicioso puede sobrescribir el archivo de imagen para conseguir el control de todas las posteriores Máquinas Virtuales invitadas. Ya que Kata Containers usa el mismo archivo de imagen de la VM con todos los VMM, este problema también puede afectar a los invitados basados en QEMU y Firecracker.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2020

Vulnerabilidad en el desmontaje del contenedor en el kata-runtime en Kata Containers (CVE-2020-2024)
Fecha de publicación:
19/05/2020
Idioma:
Español
Una vulnerabilidad de resolución de enlace inapropiada afecta a Kata Containers versiones anteriores a 1.11.0. Tras el desmontaje del contenedor, un invitado malicioso puede engañar al kata-runtime para que desmonte cualquier punto de montaje en el host y todos los puntos de montaje debajo de él, lo que puede generar una DoS del host.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2020

Vulnerabilidad en el método de carga en las etiquetas HTML "(script)" en jquery (CVE-2020-7656)
Fecha de publicación:
19/05/2020
Idioma:
Español
jquery versiones anteriores a 1.9.0, permite ataques de tipo Cross-site Scripting por medio del método de carga. El método de carga presenta un fallo al reconocer y eliminar las etiquetas HTML "(script)" que contienen un carácter de espacio en blanco, es decir: "(/script )", lo cual resulta en que la lógica de script adjunta sea ejecutada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2023

Vulnerabilidad en el archivo sendfax.php en iFAX AvantFAX en HylaFAX Enterprise Web Interface (CVE-2020-11766)
Fecha de publicación:
19/05/2020
Idioma:
Español
El archivo sendfax.php en iFAX AvantFAX versiones anteriores a 3.3.6 e HylaFAX Enterprise Web Interface versiones anteriores a 0.2.5, permite una Inyección de Comandos autenticada.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la herramienta de administración en machineKey en web.config en MyLittleAdmin (CVE-2020-13166)
Fecha de publicación:
19/05/2020
Idioma:
Español
La herramienta de administración en MyLittleAdmin versión 3.8, permite a atacantes remotos ejecutar código arbitrario porque machineKey está embebida (lo mismo para todas las instalaciones de los clientes) en web.config, y puede ser usado para enviar código ASP serializado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/04/2022

Vulnerabilidad en el archivo webadmin/tools/unixlogin.php en parámetros suministrados por el cliente en Netsweeper (CVE-2020-13167)
Fecha de publicación:
19/05/2020
Idioma:
Español
Netsweeper versiones hasta 6.4.3, permite una ejecución de código remota no autenticada porque el archivo webadmin/tools/unixlogin.php (con determinados encabezados Referer) inicia una línea de comando con parámetros suministrados por el cliente y permite una inyección de metacaracteres de shell.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades