Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el asignador de memoria grub en grub2 (CVE-2020-14308)
Fecha de publicación:
29/07/2020
Idioma:
Español
En grub2 versiones anteriores a 2.06, el asignador de memoria grub no comprueba posibles desbordamientos aritméticos en el tamaño de asignación solicitada. Esto conlleva a la función a devolver asignaciones de memoria no válidas que puedan ser usadas para causar posibles impactos de integridad, confidencialidad y disponibilidad durante el proceso de arranque
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2022

Vulnerabilidad en un script PHP en beroNet VoIP Gateways (CVE-2017-18923)
Fecha de publicación:
29/07/2020
Idioma:
Español
beroNet VoIP Gateways versiones anteriores a 3.0.16, presentan un script PHP que permite descargar archivos arbitrarios, incluyendo aquellos con credenciales
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2020

Vulnerabilidad en el envío de un mensaje TCP en el servicio TR-069 en Grandstream serie HT800 (CVE-2020-5761)
Fecha de publicación:
29/07/2020
Idioma:
Español
Grandstream serie HT800 versiones de firmware 1.0.17.5 y posteriores, es vulnerable a un agotamiento del CPU debido a un bucle infinito en el servicio TR-069. Los atacantes remotos no autenticados pueden activar este caso mediante el envío de un mensaje TCP de un carácter hacia el servicio TR-069
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2020

Vulnerabilidad en el campo Authentication HTTP en el servicio TR-069 en Grandstream serie HT800 (CVE-2020-5762)
Fecha de publicación:
29/07/2020
Idioma:
Español
Grandstream serie HT800 versiones de firmware 1.0.17.5 y posteriores, es vulnerable a un ataque de denegación de servicio contra el servicio TR-069. Un atacante remoto no autenticado puede detener el servicio debido a una desreferencia del puntero NULL en el servicio TR-069. Esta condición es desencadenada debido a un manejo inapropiado del campo Authentication HTTP
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2020

Vulnerabilidad en una backdoor en el servicio SSH en Grandstream serie HT800 (CVE-2020-5763)
Fecha de publicación:
29/07/2020
Idioma:
Español
Grandstream serie HT800 versiones de firmware 1.0.17.5 y posteriores, contiene una backdoor en el servicio SSH. Un atacante remoto autenticado puede obtener un root shell cuando responde correctamente una petición de desafío
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2020

Vulnerabilidad en Virtual Machine Instances (VMIs) en kubevirt (CVE-2020-14316)
Fecha de publicación:
29/07/2020
Idioma:
Español
Se encontró un fallo en kubevirt versiones 0.29 y anteriores. Virtual Machine Instances (VMIs) puede ser usadas para obtener acceso al sistema de archivos del host. Una explotación con éxito permite a un atacante asumir los privilegios del proceso VM en el sistema host. En el peor de los escenarios, un atacante puede leer y modificar cualquier archivo en el sistema donde se está ejecutando el VMI. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en un archivo de configuración en un mensaje SIP en Grandstream serie HT800 (CVE-2020-5760)
Fecha de publicación:
29/07/2020
Idioma:
Español
Grandstream serie HT800 versiones de firmware 1.0.17.5 y posteriores, es susceptible a una vulnerabilidad de inyección de comandos del Sistema Operativo. Los atacantes remotos no autenticados pueden ejecutar comandos arbitrarios como root mediante el diseño de un archivo de configuración especial y enviado a un mensaje SIP diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2020

Vulnerabilidad en la biblioteca libbalsa/imap/imap-handle.c en la función imap_mbox_connect en una respuesta PREAUTH en GNOME Balsa (CVE-2020-16118)
Fecha de publicación:
29/07/2020
Idioma:
Español
En GNOME Balsa versiones anteriores a 2.6.0, un operador de servidor malicioso o un man in the middle puede desencadenar una desreferencia del puntero NULL y un bloqueo del cliente mediante el envío de una respuesta PREAUTH hacia la función imap_mbox_connect en la biblioteca libbalsa/imap/imap-handle.c
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2023

Vulnerabilidad en el certificado de firma del kernel en la base de datos de arranque seguro en GRUB2 (CVE-2020-15705)
Fecha de publicación:
29/07/2020
Idioma:
Español
GRUB2 presenta un fallo al comprobar la firma del kernel cuando se inicia directamente sin cuña, permitiendo que el arranque seguro sea omitido. Esto solo afecta a los sistemas en los que el certificado de firma del kernel ha sido importado directamente a la base de datos de arranque seguro y la imagen de GRUB es iniciada directamente sin el uso de cuña. Este problema afecta a GRUB2 versiones 2.04 y versiones anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2022

Vulnerabilidad en la función grub_script_function_create() en GRUB2 (CVE-2020-15706)
Fecha de publicación:
29/07/2020
Idioma:
Español
GRUB2 contiene una condición de carrera en la función grub_script_function_create() que conlleva a una vulnerabilidad de uso de la memoria previamente liberada la cual puede ser desencadenada al redefinir una función mientras la misma función ya se está ejecutando, conllevando a una ejecución de código arbitrario y a una omisión de restricción de arranque seguro. Este problema afecta a GRUB2 versiones 2.04 y versiones anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2022

Vulnerabilidad en las funciones grub_cmd_initrd y grub_initrd_init en el componente efilinux de GRUB2 incluido en Debian, Red Hat y Ubuntu (CVE-2020-15707)
Fecha de publicación:
29/07/2020
Idioma:
Español
Se detectaron desbordamientos de enteros en las funciones grub_cmd_initrd y grub_initrd_init en el componente efilinux de GRUB2, como se incluye en Debian, Red Hat y Ubuntu (la funcionalidad no está incluida aguas arriba de GRUB2), conllevando a un desbordamiento del búfer en la región heap de la memoria. Estos podrían ser activados por una gran cantidad de argumentos para el comando initrd en arquitecturas de 32 bits, o un sistema de archivos diseñado con archivos muy grandes en cualquier arquitectura. Un atacante podría usar esto para ejecutar código arbitrario y omitir las restricciones UEFI Secure Boot. Este problema afecta a GRUB2 versiones 2.04 y versiones anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2021

Vulnerabilidad en un valor de encabezado en Zoho ManageEngine Desktop Central (CVE-2020-15588)
Fecha de publicación:
29/07/2020
Idioma:
Español
Se detectó un problema en el lado del cliente de Zoho ManageEngine Desktop Central versión 10.0.552.W. Un servidor controlado por un atacante puede desencadenar un desbordamiento de enteros en InternetSendRequestEx e InternetSendRequestByBitrate que conduce a un desbordamiento de búfer basado en la pila y a la ejecución remota de código con privilegios de SYSTEM. Este problema sólo se produce cuando se inicia una comunicación no fiable con el servidor. En la nube, el Agente siempre se conectará con una comunicación de confianza
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/04/2022
Suscribirse a Vulnerabilidades