Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Active Directory integrated DNS (ADIDNS) de Microsoft Windows (CVE-2020-0761)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de ejecución de código remota cuando Active Directory integrated DNS (ADIDNS) maneja inapropiadamente objetos en memoria, también se conoce como "Active Directory Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2020-0718
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2023

Vulnerabilidad en Active Directory integrated DNS (ADIDNS) de Microsoft (CVE-2020-0664)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de divulgación de información cuando Active Directory integrated DNS (ADIDNS) maneja inapropiadamente objetos en memoria, también se conoce como "Active Directory Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2020-0856
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2023

Vulnerabilidad en el Windows RSoP Service Application de Microsoft (CVE-2020-0648)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios cuando el Windows RSoP Service Application maneja inapropiadamente la memoria. Para explotar esta vulnerabilidad, un atacante primero tendría que conseguir una ejecución en el sistema víctima, también se conoce como "Windows RSoP Service Application Elevation of Privilege Vulnerability"
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2023

Vulnerabilidad en el Windows Cryptographic Catalog Services de Microsoft (CVE-2020-0782)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios cuando el Windows Cryptographic Catalog Services maneja inapropiadamente objetos en memoria, también se conoce como "Windows Cryptographic Catalog Services Elevation of Privilege Vulnerability"
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2023

Vulnerabilidad en el archivo splwow64.exe de Microsoft (CVE-2020-0790)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de elevación de privilegios local en como el archivo splwow64.exe maneja determinadas llamadas, también se conoce como "Microsoft splwow64 Elevation of Privilege Vulnerability"
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2023

Vulnerabilidad en Microsoft Store Runtime (CVE-2020-0766)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios cuando Microsoft Store Runtime maneja inapropiadamente la memoria. Para explotar esta vulnerabilidad, un atacante primero tendría que conseguir una ejecución en el sistema víctima, también se conoce como "Microsoft Store Runtime Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1146
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2023

Vulnerabilidad en el Windows Projected Filesystem de Microsoft (CVE-2020-0805)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de omisión de la característica de seguridad cuando un Windows Projected Filesystem maneja inapropiadamente redireccionamientos de archivos, también se conoce como "Projected Filesystem Security Feature Bypass Vulnerability"
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2023

Vulnerabilidad en las consultas en Windows DNS de Microsoft (CVE-2020-0836)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de denegación de servicio en Windows DNS cuando presenta un fallo al manejar apropiadamente las consultas, también se conoce como "Windows DNS Denial of Service Vulnerability". Este ID de CVE es diferente de CVE-2020-1228
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2023

Vulnerabilidad en el protocolo EST en PrimeKey EJBCA (CVE-2020-25276)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se detectó un problema en PrimeKey EJBCA versiones 6.x y versiones 7.x anteriores a 7.4.1. Cuando se usa un certificado de cliente para inscribirse por medio del protocolo EST, ninguna comprobación de revocación es llevado a cabo en ese certificado. Esta vulnerabilidad solo puede afectar a un sistema que presenta EST configurado, usa certificados de cliente para autenticar la inscripción y se le ha revocado dicho certificado. Este certificado necesita pertenecer a un rol autorizado para inscribir nuevas entidades finales. (Para mitigar completamente este problema antes de la actualización, elimine los certificados de cliente revocados de sus respectivos roles)
Gravedad CVSS v3.1: ALTA
Última modificación:
16/09/2020

Vulnerabilidad en los asistentes de traducción "t" y "translate" de Action View (CVE-2020-15169)

Fecha de publicación:
11/09/2020
Idioma:
Español
En Action View versiones anteriores a 5.2.4.4 y 6.0.3.3, se presenta una potencial vulnerabilidad de tipo Cross-Site Scripting (XSS) en los asistentes de traducción de Action View. Las vistas que permiten al usuario controlar el valor predeterminado (no encontrado) de los asistentes "t" y "translate" podrían ser susceptibles a ataques de tipo XSS. Cuando es pasada una cadena no segura hacia HTML como predeterminada para una clave de traducción faltante llamada html o terminando en _html, la cadena predeterminada es marcada incorrectamente como segura para HTML y no escapaba. Esto está parcheado en las versiones 6.0.3.3 y 5.2.4.4. Se propone una solución alternativa sin actualizar en el aviso de fuente
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en los usuarios con endpoints públicos de transporte TCP con CURVE/ZAP en ZeroMQ (CVE-2020-15166)

Fecha de publicación:
11/09/2020
Idioma:
Español
En ZeroMQ versiones anteriores a 4.3.3, se presenta una vulnerabilidad de denegación de servicio. Los usuarios con endpoints públicos de transporte TCP, incluso con CURVE/ZAP habilitado, están afectados. Si es abierto un socket TCP sin procesar y es conectado a un endpoint que está completamente configurado con CURVE/ZAP, los clientes legítimos no podrán ser capaces de intercambiar ningún mensaje. Los Protocolos de Enlace se completan correctamente y los mensajes son enviados a la biblioteca, pero la aplicación del servidor nunca los recibe. Esto está parcheado en la versión 4.3.3
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la comprobación de certificado en Helpdesk de QNAP (CVE-2018-19946)

Fecha de publicación:
11/09/2020
Idioma:
Español
Se ha reportado que la vulnerabilidad afecta a versiones anteriores de Helpdesk. Si es explotada, esta vulnerabilidad de comprobación de certificado inapropiada podría permitir a un atacante falsificar una entidad confiable interfiriendo en la ruta de comunicación entre el host y el cliente. QNAP ya corrigió el problema en Helpdesk versiones 3.0.3 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2020