Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función ImportAlertRules de la consola web del Proofpoint Insider Threat Management Server (CVE-2020-10657)
Fecha de publicación:
06/01/2021
Idioma:
Español
El Proofpoint Insider Threat Management Server (anteriormente ObserveIT Server) versiones anteriores a 7.9.1, contiene una vulnerabilidad en la función ImportAlertRules de la consola web de ITM. La vulnerabilidad permite a un atacante remoto (con privilegios de administrador o de administrador de configuración en la consola) ejecutar código arbitrario con privilegios de administrador local. La vulnerabilidad es debido a una deserialización inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2021

Vulnerabilidad en la API WriteWindowMouseWithChunksV2 del servidor de aplicaciones de Proofpoint Insider Threat Management Server (CVE-2020-10656)
Fecha de publicación:
06/01/2021
Idioma:
Español
Proofpoint Insider Threat Management Server (anteriormente ObserveIT Server) versiones anteriores a 7.9.1, contiene una vulnerabilidad en la API WriteWindowMouseWithChunksV2 del servidor de aplicaciones de ITM. La vulnerabilidad permite que un atacante remoto anónimo ejecutar código arbitrario con privilegios de administrador local. La vulnerabilidad es debido a una deserialización inapropiada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en la API WriteWindowMouse del servidor de aplicaciones de Proofpoint Insider Threat Management Server (CVE-2020-10655)
Fecha de publicación:
06/01/2021
Idioma:
Español
Proofpoint Insider Threat Management Server (anteriormente ObserveIT Server) versiones anteriores a 7.9.1, contiene una vulnerabilidad en la API WriteWindowMouse del servidor de aplicaciones de ITM. La vulnerabilidad permite que un atacante remoto anónimo ejecutar código arbitrario con privilegios de administrador local. La vulnerabilidad es debido a una deserialización inapropiada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en parámetros de URL en IBM WebSphere eXtreme Scale (CVE-2020-4336)
Fecha de publicación:
06/01/2021
Idioma:
Español
IBM WebSphere eXtreme Scale versión 8.6.1, almacena información confidencial en parámetros de URL. Esto puede conllevar a una divulgación de información si partes no autorizadas tienen acceso a las URL por medio de registros del servidor, encabezado de referencia o historial del navegador. ID de IBM X-Force: 177932
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2021

Vulnerabilidad en una respuesta de servidor en clickhouse-driver (CVE-2020-26759)
Fecha de publicación:
06/01/2021
Idioma:
Español
clickhouse-driver versiones anteriores a 0.1.5, permite a un servidor clickhouse malicioso desencadenar un bloqueo o ejecutar código arbitrario (en un cliente de base de datos) por medio de una respuesta de servidor diseñada, debido a un desbordamiento del búfer
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en la función reader::read_from_container en el análisis de archivos PNG en kamadak-exif en Rust (CVE-2021-21235)
Fecha de publicación:
06/01/2021
Idioma:
Español
kamadak-exif es una biblioteca de análisis exif escrita en Rust puro. En kamadak-exif versión 0.5.2, Se presenta un bucle infinito en el análisis de archivos PNG diseñados. Específicamente, la función reader::read_from_container puede causar un bucle infinito cuando se le proporciona un archivo PNG diseñado. Esto es corregido en la versión 0.5.3. Ninguna solución alternativa está disponible. Las aplicaciones que no aprueban archivos con la firma PNG a la función Reader::read_from_container no están afectadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2022

Vulnerabilidad en la biblioteca OpenSSL en el archivo de configuración /ReleaseX64/ssl/openssl.cnf en los sistemas Windows en Veritas Desktop and Laptop Option (DLO) (CVE-2020-36165)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en Veritas Desktop and Laptop Option (DLO) versiones anteriores a 9.4. Al iniciarse, carga la biblioteca OpenSSL desde /ReleaseX64/ssl. Esta biblioteca intenta cargar el archivo de configuración /ReleaseX64/ssl/openssl.cnf, que no existe. Por defecto, en los sistemas Windows, los usuarios pueden crear directorios en C:\. Un usuario poco privilegiado puede crear un archivo de configuración C:/ReleaseX64/ssl/openssl.cnf para cargar un motor OpenSSL malicioso, resultando en una ejecución de código arbitraria como SYSTEM cuando se inicia el servicio. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos, acceder a todas las aplicaciones instaladas, etc. Esto afecta las instalaciones de cliente y de servidor de DLO
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2021

Vulnerabilidad en la biblioteca OpenSSL en el archivo de configuración \usr\local\ssl\openssl.cnf en Veritas InfoScale en Windows, Storage Foundation en Windows, Storage Foundation HA en Windows e InfoScale Operations Manager, Windows Management Server (CVE-2020-36166)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en Veritas InfoScale versiones 7.x hasta 7.4.2 en Windows, Storage Foundation versiones hasta 6.1 en Windows, Storage Foundation HA versiones hasta 6.1 en Windows e InfoScale Operations Manager (también se conoce como VIOM) Windows Management Server versiones 7.x hasta 7.4.2 . Al iniciarse, carga la biblioteca OpenSSL desde \usr\local\ssl. Esta biblioteca intenta cargar el archivo de configuración \usr\local\ssl\openssl.cnf, que puede no estar presente. En los sistemas Windows, esta ruta podría traducirse a (drive):\usr\local\ssl\openssl.cnf, donde (drive) podría ser la unidad de instalación predeterminada de Windows, como C:\ o la unidad donde está instalado un producto de Veritas. Por defecto, en los sistemas Windows, los usuarios pueden crear directorios en cualquier directorio de nivel superior. Un usuario poco privilegiado puede crear un archivo de configuración (drive):\usr\local\ssl\openssl.cnf para cargar un motor OpenSSL malicioso, resultando en una ejecución de código arbitraria como SYSTEM cuando se inicia el servicio. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos, acceder a todas las aplicaciones instaladas, etc
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2021

Vulnerabilidad en el archivo de configuración /usr/local/ssl/openssl.cnf en la biblioteca OpenSSL en sistemas Windows en el servidor en Veritas Backup Exec. (CVE-2020-36167)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en el servidor en Veritas Backup Exec versiones hasta 16.2, versiones 20.6 anteriores a la hotfix 298543 y versiones 21.1 anteriores a la hotfix 657517. Al iniciar, carga la biblioteca OpenSSL desde la carpeta de instalación. Esta biblioteca, a su vez, intenta cargar el archivo de configuración /usr/local/ssl/openssl.cnf, que puede no estar presente. En sistemas Windows, esta ruta podría traducirse a (drive):\usr\local\ssl\openssl.cnf. Un usuario poco privilegiado puede crear un archivo de configuración:\usr\local\ssl\openssl.cnf para cargar un motor OpenSSL malicioso, resultando en una ejecución de código arbitraria como SYSTEM cuando se inicia el servicio. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos, acceder a todas las aplicaciones instaladas, etc. Si el sistema también es un controlador de dominio de Active Directory, entonces esto puede afectar a todo el dominio
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2021

Vulnerabilidad en OpenSSL en el archivo de configuración openssl.cnf en el addon Managed Host en sistemas Windows en Veritas Resiliency Platform (CVE-2020-36168)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en Veritas Resiliency Platform versiones 3.4 y 3.5. Aprovecha OpenSSL en sistemas Windows cuando usa el addon Managed Host. Al iniciarse, carga la biblioteca OpenSSL. Esta biblioteca puede intentar cargar el archivo de configuración openssl.cnf, que no estar presente. Por defecto, en los sistemas Windows, los usuarios pueden crear directorios en C:\. Un usuario poco privilegiado puede crear un archivo de configuración C:\usr\local\ssl\openssl.cnf para cargar un motor OpenSSL malicioso, resultando en una ejecución de código arbitraria como SYSTEM cuando se inicia el servicio. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos, acceder a todas las aplicaciones instaladas, etc
Gravedad CVSS v3.1: ALTA
Última modificación:
11/01/2021

Vulnerabilidad en los procesos que usan OpenSSL en el sistema operativo Windows en Veritas NetBackup y OpsCenter (CVE-2020-36169)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en Veritas NetBackup versiones hasta 8.3.0.1 y OpsCenter versiones hasta 8.3.0.1. Los procesos que usan OpenSSL intentan cargar y ejecutar bibliotecas desde rutas que no existen por defecto en el sistema operativo Windows. Por defecto, en sistemas Windows, los usuarios pueden crear directorios sobre el nivel superior de cualquier unidad. Si un usuario poco privilegiado crea una ruta afectada con una biblioteca que el producto de Veritas intenta cargar, puede ejecutar código arbitrario como SYSTEM o Administrator. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos, acceder a todas las aplicaciones instaladas, etc. Esta vulnerabilidad afecta a los servidores maestros, servidores multimedia, clientes y servidores OpsCenter en la plataforma Windows. El sistema es vulnerable durante una instalación o actualización y después de la instalación durante las operaciones normales
Gravedad CVSS v3.1: ALTA
Última modificación:
11/01/2021

Vulnerabilidad en la biblioteca OpenSSL en el archivo de configuración \usr\local\ssl\openssl.cnf en los sistemas Windows en Veritas System Recovery (CVE-2020-36160)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en Veritas System Recovery versiones anteriores a 21.2. Al iniciarse, carga la biblioteca OpenSSL desde \usr\local\ssl. Esta biblioteca intenta cargar el archivo de configuración desde \usr\local\ssl\openssl.cnf, que no existe. Por defecto, en los sistemas Windows, los usuarios pueden crear directorios en C:\. Un usuario poco privilegiado puede crear un archivo de configuración C:\usr\local\ssl\openssl.cnf para cargar un motor OpenSSL malicioso, resultando en una ejecución de código arbitraria como SYSTEM cuando se inicia el servicio. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos y aplicaciones instaladas, etc. Si el sistema también es un controlador de dominio de Active Directory, entonces esto puede afectar a todo el dominio
Gravedad CVSS v3.1: ALTA
Última modificación:
11/01/2021
Suscribirse a Vulnerabilidades