Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la clave de kublet en Permisos para Recursos Críticos en skuba de SUSE CaaS Platform (CVE-2020-8029)
Fecha de publicación:
11/02/2021
Idioma:
Español
Una vulnerabilidad Asignación Incorrecta de Permisos para Recursos Críticos en skuba de SUSE CaaS Platform versión 4.5, permite a atacantes locales obtener acceso a la clave de kublet. Este problema afecta a: skuba de SUSE CaaS Platform versión 4.5 anterior a https://github.com/SUSE/skuba/pull/1416
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2021

Vulnerabilidad en bootstrapToken en archivo temporal en skuba de SUSE CaaS Platform (CVE-2020-8030)
Fecha de publicación:
11/02/2021
Idioma:
Español
Una vulnerabilidad de archivo temporal no seguro en skuba de SUSE CaaS Platform versión 4.5, permite a atacantes locales filtrar el bootstrapToken o modificar el archivo de configuración antes de que se procese, resultando en modificaciones arbitrarias de la machine/cluster
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2021

Vulnerabilidad en archivo temporal no seguro en openldap2 de SUSE Linux Enterprise Server, SUSE Linux Enterprise Server para SAP y openSUSE Leap (CVE-2020-8027)
Fecha de publicación:
11/02/2021
Idioma:
Español
Una vulnerabilidad de archivo temporal no seguro en openldap2 de SUSE Linux Enterprise Server versión 15-LTSS, SUSE Linux Enterprise Server para SAP versión 15; openSUSE Leap versión 15.1, openSUSE Leap versión 15.2, permite a atacantes locales sobrescribir archivos arbitrarios y obtener acceso a la configuración de openldap2. Este problema afecta a: openldap2 de SUSE Linux Enterprise Server versión 15-LTSS versiones anteriores a 2.4.46-9.37.1. openldap2 de SUSE Linux Enterprise Server para SAP versión 15 versiones anteriores a 2.4.46-9.37.1. openldap2 de openSUSE Leap versión 15.1 versiones anteriores a 2.4.46-lp151.10.18.1. openldap2 de openSUSE Leap versión 15.2 versiones anteriores a 2.4.46-lp152.14.9.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2021

Vulnerabilidad en la Generación de Páginas Web en Open Build Service (CVE-2020-8031)
Fecha de publicación:
11/02/2021
Idioma:
Español
Una vulnerabilidad de neutralización Inapropiada de la entrada Durante la Generación de Páginas Web ("Cross-site Scripting") en Open Build Service permite a atacantes remotos almacenar código JS en rebajas que no se escapan correctamente, lo que afecta la confidencialidad e integridad. Este problema afecta a: Open Build Service versiones anteriores a 2.10.8
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2021

Vulnerabilidad en LDAP en el paquete is-user-valid (CVE-2021-23335)
Fecha de publicación:
11/02/2021
Idioma:
Español
Todas las versiones del paquete is-user-valid son vulnerables a una inyección de LDAP, lo que puede conllevar a la omisión de la autenticación o la exposición de la información
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2021

CVE-2021-23334
Fecha de publicación:
11/02/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en múltiples servidores de aplicaciones OM con SSL activo en MongoDB Ops Manager (CVE-2021-20335)
Fecha de publicación:
11/02/2021
Idioma:
Español
Para MongoDB Ops Manager anteriores o iguales a la versión 4.2.24 con varios servidores de aplicaciones OM, que tienen SSL activado para sus procesos MongoDB, la actualización a MongoDB Ops Manager anteriores o iguales a la versión 4.4.12 desencadena un error en el que Automation piensa que SSL está desactivado, y puede desactivar SSL temporalmente para los miembros del clúster. Este problema es temporal y finalmente se corrige por sí mismo después de que las instancias de MongoDB Ops Manager hayan terminado de actualizarse a MongoDB Ops Manager versión 4.4. Además, los clientes deben estar ejecutando con clientCertificateMode=OPTIONAL / allowConnectionsWithoutCertificates=true para verse afectados*.* Los clientes que actualizan de Ops Manager versión 4.2.X a la versión 4.2.24 y finalmente a Ops Manager versión 4.4.13+ no se ven afectados por este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/09/2024

Vulnerabilidad en el archivo VulnerabilitySettings.aspx en instalaciones de SolarWinds Orion Platform (CVE-2020-27871)
Fecha de publicación:
10/02/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos crear archivos arbitrarios en instalaciones afectadas de SolarWinds Orion Platform versión 2020.2.1. Aunque es requerido una autenticación para explotar esta vulnerabilidad, el mecanismo de autenticación existente puede ser omitido. El fallo específico se presenta dentro del archivo VulnerabilitySettings.aspx. El problema resulta de la falta de comprobación apropiada de una ruta suministrada por el usuario antes de usarla en operaciones de archivo. Un atacante puede explotar esta vulnerabilidad para ejecutar código arbitrario en el contexto de SYSTEM. Era ZDI-CAN-11902
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2021

Vulnerabilidad en el archivo ExportToPDF.aspx en instalaciones de SolarWinds Orion Platform (CVE-2020-27870)
Fecha de publicación:
10/02/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre instalaciones afectadas de SolarWinds Orion Platform 2020.2.1. Se requiere autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro del archivo ExportToPDF.aspx. El problema es debido a la falta de comprobación apropiada de una ruta suministrada por el usuario antes de usarla en operaciones de archivo. Un atacante puede explotar esta vulnerabilidad para divulgar información en el contexto de SYSTEM. Era ZDI-CAN-11917
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2021

Vulnerabilidad en el decodificador WXAM en instalaciones de Tencent WeChat (CVE-2020-27874)
Fecha de publicación:
10/02/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Tencent WeChat versión 7.0.18. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta dentro del decodificador WXAM. El problema resulta de la falta de comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en un acceso a la memoria más allá del final de un objeto asignado. Un atacante puede explotar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-11580
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2021

Vulnerabilidad en los archivos flb_avro.c o http_server/api/v1/metrics.c en Fluent Bit (CVE-2021-27186)
Fecha de publicación:
10/02/2021
Idioma:
Español
Fluent Bit versión 1.6.10, presenta una desreferencia del puntero NULL cuando un valor de retorno flb_malloc no es comprobado por los archivos flb_avro.c o http_server/api/v1/metrics.c
Gravedad CVSS v3.1: ALTA
Última modificación:
16/02/2021

Vulnerabilidad en la protección con contraseña en las familias de productos de consumo Trend Micro Security 2020 y 2021 (CVE-2021-25251)
Fecha de publicación:
10/02/2021
Idioma:
Español
Las familias de productos de consumo Trend Micro Security 2020 y 2021, son vulnerables a una vulnerabilidad de inyección de código que podría permitir a un atacante desactivar la protección con contraseña del programa y desactivar la protección. Un atacante ya debe tener privilegios de administrador en la máquina para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
16/02/2021
Suscribirse a Vulnerabilidades