Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la integración de servicios en el plugin Ninja Forms para WordPress (CVE-2020-36174)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Ninja Forms versiones anteriores a 3.4.27.1 para WordPress, permite un ataque de tipo CSRF por medio de la integración de servicios
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2021

Vulnerabilidad en los menús desplegables Select2 en el plugin Advanced Custom Fields para WordPress (CVE-2020-36172)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Advanced Custom Fields versiones anteriores a 5.8.12 para WordPress, maneja inapropiadamente el escape de cadenas en los menús desplegables Select2, lo que potencialmente conlleva a un ataque de tipo XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2021

Vulnerabilidad en los campos submissions-table en el plugin Ninja Forms para WordPress (CVE-2020-36173)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Ninja Forms versiones anteriores a 3.4.28 para WordPress, carece de escape para los campos submissions-table
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el campo email en el plugin Ninja Forms para WordPress (CVE-2020-36175)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Ninja Forms versiones anteriores a 3.4.27.1 para WordPress, permite a atacantes omitir la comprobación por medio del campo email
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el plugin iThemes Security para WordPress (CVE-2020-36176)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin iThemes Security (anteriormente Better WP Security) versiones anteriores a 7.7.0 para WordPress, no aplica el requisito de una nueva contraseña para una cuenta existente hasta que el segundo inicio de sesión ocurre
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la base de datos en Crimson (CVE-2020-27285)
Fecha de publicación:
06/01/2021
Idioma:
Español
La configuración predeterminada de Crimson versión 3.1 (versiones de compilación anteriores a 3119.001), permite a un usuario ser capaz de leer y modificar la base de datos sin autenticación
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en la funcionalidad de análisis de documentos de TextMaker de la aplicación TextMaker de SoftMaker Office 2021 (CVE-2020-13544)
Fecha de publicación:
06/01/2021
Idioma:
Español
Una vulnerabilidad de extensión de firma explotable en la funcionalidad de análisis de documentos de TextMaker de la aplicación TextMaker de SoftMaker Office 2021. Un documento especialmente diseñado puede hacer que el analizador de documentos firme y extienda una longitud usada para terminar un bucle, lo que luego puede resultar en que el índice del bucle sea usado para escribir fuera de los límites de un búfer de pila durante la lectura de datos de archivo. Un atacante puede atraer a la víctima a que abra un documento para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en la funcionalidad de análisis de documentos de TextMaker de la aplicación TextMaker de SoftMaker Office 2021 (CVE-2020-13545)
Fecha de publicación:
06/01/2021
Idioma:
Español
Una vulnerabilidad de conversión firmada explotable en la funcionalidad de análisis de documentos de TextMaker de la aplicación TextMaker de SoftMaker Office 2021. Un documento especialmente diseñado puede hacer que el analizador de documentos calcule inapropiadamente una longitud usada para asignar un búfer; más adelante, tras usar este búfer, la aplicación escribirá fuera de sus límites, resultando en una corrupción de la memoria de la región heap. Un atacante puede atraer a la víctima para que abra un documento para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en las cookies de autenticación en el plugin Limit Login Attempts para WordPress (CVE-2012-10001)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Limit Login Attempts versiones anteriores a 1.7.1 para WordPress, no borra las cookies de autenticación tras un bloqueo, lo que podría facilitar a los atacantes remotos realizar intentos de autenticación por fuerza bruta
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2024

Vulnerabilidad en rcdsvc en el Proofpoint Insider Threat Management Windows Agent (CVE-2020-8884)
Fecha de publicación:
06/01/2021
Idioma:
Español
rcdsvc en el Proofpoint Insider Threat Management Windows Agent (anteriormente ObserveIT Windows Agent) versiones anteriores a 7.9, permite a los usuarios autenticados remotamente ejecutar código arbitrario como SYSTEM debido a una deserialización inapropiada sobre tuberías nombradas
Gravedad CVSS v3.1: ALTA
Última modificación:
13/01/2021

Vulnerabilidad en los campos name="timestamp" en el plugin Ultimate Member para WordPress (CVE-2020-36170)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Ultimate Member versiones anteriores a 2.1.13 para WordPress, maneja inapropiadamente los campos name="timestamp" ocultos en los formularios
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2021

Vulnerabilidad en la API WriteImage del Proofpoint Insider Threat Management Server (CVE-2020-10658)
Fecha de publicación:
06/01/2021
Idioma:
Español
Proofpoint Insider Threat Management Server (anteriormente ObserveIT Server) versiones anteriores a 7.9.1, contiene una vulnerabilidad en la API WriteImage del servidor de aplicaciones ITM. La vulnerabilidad permite que un atacante remoto anónimo ejecutar código arbitrario con privilegios de administrador local. La vulnerabilidad es debido a una deserialización inapropiada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021
Suscribirse a Vulnerabilidades