Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en unas cargas útiles JSON en el framework web FastAPI (CVE-2021-32677)
Fecha de publicación:
09/06/2021
Idioma:
Español
FastAPI es un framework web para construir APIs con Python versión 3.6+ basado en sugerencias de tipo estándar de Python. Las versiones de FastAPI inferiores a la 0.65.2 que usaban cookies para la autenticación en las operaciones de ruta que recibían cargas útiles JSON enviadas por los navegadores eran vulnerables a un ataque de tipo Cross-Site Request Forgery (CSRF). En versiones inferiores a la 0.65.2, FastAPI intentaba leer la carga útil de la petición como JSON incluso si la encabezado content-type enviada no estaba configurada como application/json o un tipo de medio JSON compatible (por ejemplo, application/geo+json). Una petición con un tipo de contenido text/plain que contenga datos JSON será aceptada y los datos JSON serán extraídos. Las peticiones con tipo de contenido text/plain están exentas de preflights CORS, por ser consideradas peticiones simples. El navegador las ejecutará de inmediato, incluyendo las cookies, y el contenido de texto podría ser una cadena JSON que sería analizada y aceptada por la aplicación FastAPI. Esto se ha corregido en FastAPI 0.65.2. Ahora los datos de la petición se analizan como JSON sólo si la encabezado content-type es application/json u otro tipo de medio compatible con JSON como application/geo+json. Es mejor actualizar a la última FastAPI, pero si la actualización no es posible, entonces un middleware o una dependencia que compruebe la encabezado de tipo de contenido y aborte la petición si no es application/json u otro tipo de contenido compatible con JSON puede actuar como una solución de mitigación
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2024

Vulnerabilidad en credenciales en texto sin cifrar de AVEVA InTouch Runtime 2020 R2 (CVE-2021-32942)
Fecha de publicación:
09/06/2021
Idioma:
Español
La vulnerabilidad podría exponer credenciales en texto sin cifrar de AVEVA InTouch Runtime 2020 R2 y todas las versiones anteriores (WindowViewer) si un usuario autorizado privilegiado crea un volcado de memoria de diagnóstico del proceso y lo guarda en una ubicación no protegida
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

Vulnerabilidad en directorios y archivos en Brocade SANnav (CVE-2020-15385)
Fecha de publicación:
09/06/2021
Idioma:
Español
Brocade SANNav versiones anteriores a 2.1.1, permite a un atacante autenticado listar directorios, y listar archivos sin permiso. Como resultado, los usuarios sin permiso pueden visualizar carpetas y archivos ocultos, y pueden crear directorios sin permiso
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en los comandos CLI en Brocade Fabric OS (CVE-2020-15386)
Fecha de publicación:
09/06/2021
Idioma:
Español
Brocade Fabric OS versiones anteriores a v9.0.1a y 8.2.3a y posteriores a v9.0.0 y 8.2.2d, puede observar una alta carga de la CPU durante un escaneo de seguridad, lo que podría conllevar una respuesta más lenta a los comandos CLI y otras operaciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en las claves de menos de 2048 bits en los servidores SSH del host de Brocade Fabric Os y Brocade SANnav (CVE-2020-15387)
Fecha de publicación:
09/06/2021
Idioma:
Español
Los servidores SSH del host de Brocade Fabric OS versiones anteriores a v7.4.2h, v8.2.1c, v8.2.2, v9.0.0, y Brocade SANnav versiones anteriores a v2.1.1, utilizan claves de menos de 2048 bits, que pueden ser vulnerables a ataques de tipo man-in-the-middle y/o a comunicaciones SSH no seguras
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2021

Vulnerabilidad en la longitud de los datos de usuario y nombre del campo en Brocade SANnav (CVE-2020-15379)
Fecha de publicación:
09/06/2021
Idioma:
Español
Brocade SANnav versiones anteriores a 2.1.0a, podía permitir a atacantes remotos causar una condición de denegación de servicio debido a una falta de comprobación apropiada, de la longitud de los datos suministrados por el usuario como como el nombre del campo personalizado
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2021

Vulnerabilidad en las herramientas web de Brocade SANnav (CVE-2020-15377)
Fecha de publicación:
09/06/2021
Idioma:
Español
Las herramientas web de Brocade SANNav versiones anteriores a 2.1.1, permiten a usuarios no autenticados realizar peticiones a hosts arbitrarios debido a una configuración errónea; esto se conoce comúnmente como vulnerabilidad de tipo Server-Side Request Forgery (SSRF)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/06/2021

Vulnerabilidad en los puertos del contenedor Docker en Brocade SANnav (CVE-2020-15378)
Fecha de publicación:
09/06/2021
Idioma:
Español
La versión OVA de Brocade SANNav versiones anteriores a 2.1.1, de instalación con red IPv6 expone los puertos del contenedor Docker a la red, incrementando la superficie de ataque potencial
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2021

Vulnerabilidad en la encabezado de respuesta de inicio de sesión en Brocade SANNav (CVE-2020-15384)
Fecha de publicación:
09/06/2021
Idioma:
Español
Brocade SANNav versiones anteriores a 2.1.1, contiene una vulnerabilidad de divulgación de información. Una explotación con éxito de la información interna del servidor en la encabezado de respuesta de inicio de sesión
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2021

Vulnerabilidad en el nivel de registro "trace" en Brocade SANnav (CVE-2020-15380)
Fecha de publicación:
09/06/2021
Idioma:
Español
Brocade SANNav versiones anteriores a 2.1.1, registra las credenciales de la cuenta en el nivel de registro "trace"
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2021

Vulnerabilidad en los procesos de configuración y notificación secundaria en SAN switch (CVE-2020-15383)
Fecha de publicación:
09/06/2021
Idioma:
Español
Una ejecución de escaneos de seguridad contra el SAN switch puede causar a los procesos de configuración y notificación secundaria dentro de las versiones de firmware anteriores a Brocade Fabric OS v9.0.0, v8.2.2d y v8.2.1e, consumir toda la memoria, conllevando a impactos de denegación de servicio que posiblemente incluyen un switch panic
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en Server Console en CloverDX (CVE-2021-29995)
Fecha de publicación:
09/06/2021
Idioma:
Español
Un problema de tipo Cross Site Request Forgery (CSRF) en Server Console en CloverDX versiones hasta 5.9.0, permite a atacantes remotos ejecutar cualquier acción como el usuario que inició sesión (incluida la ejecución del script). El problema es resuelto en CloverDX versión 5.10, CloverDX versión 5.9.1, CloverDX versión 5.8.2 y CloverDX versión 5.7.1
Gravedad CVSS v3.1: ALTA
Última modificación:
25/05/2022
Suscribirse a Vulnerabilidades