Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en páginas web de encabezado Host en Spiceworks (CVE-2020-25901)
Fecha de publicación:
18/12/2020
Idioma:
Español
Una Inyección de Encabezado Host en Spiceworks versión 7.5.7.0, permite al atacante generar enlaces arbitrarios que apuntan hacia un sitio web malicioso con páginas web de encabezado Host envenenadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/10/2021

Vulnerabilidad en los parámetros outputform o toclevels en cgi-bin/printbook en Xinuos Openserver (CVE-2020-25494)
Fecha de publicación:
18/12/2020
Idioma:
Español
Xinuos (anteriormente SCO) Openserver versiones v5 y v6, permite a atacantes ejecutar comandos arbitrarios por medio de metacaracteres de shell en los parámetros outputform o toclevels en cgi-bin/printbook
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en adjuntos de elementos de trabajo en Tangro Business Workflow (CVE-2020-26178)
Fecha de publicación:
18/12/2020
Idioma:
Español
En Tangro Business Workflow versiones anteriores a 1.18.1, conociendo un ID de adjuntos, es posible descargar adjuntos de elementos de trabajo sin estar autenticado
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/12/2020

Vulnerabilidad en el endpoint de la API /api/document/(DocumentID)/attachments en Tangro Business Workflow (CVE-2020-26176)
Fecha de publicación:
18/12/2020
Idioma:
Español
Se detectó un problema en Tangro Business Workflow versiones anteriores a 1.18.1. No se presentan comprobaciones de control de acceso (o están rotas) en el endpoint de la API /api/document/(DocumentID)/attachments. Conociendo un ID de documento, un atacante puede listar todos los archivos adjuntos de un elemento de trabajo, incluyendo sus respectivos ID. Esto permite al atacante recopilar ID de adjuntos válidos para los valores atenuados que no les pertenecen
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/12/2020

Vulnerabilidad en las peticiones a /api/profile en el valor de PERSON en Tangro Business Workflow (CVE-2020-26175)
Fecha de publicación:
18/12/2020
Idioma:
Español
En Tangro Business Workflow versiones anteriores a 1.18.1, un atacante puede manipular el valor de PERSON en las peticiones a /api/profile para cambiar la información del perfil de otros usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el perfil de un usuario en Tangro Business Workflow (CVE-2020-26177)
Fecha de publicación:
18/12/2020
Idioma:
Español
En Tangro Business Workflow versiones anteriores a 1.18.1, el perfil de un usuario contiene algunos elementos que están atenuados y, por lo tanto, no están destinados a ser editados por usuarios habituales. Sin embargo, esta restricción es solo aplicada en el lado del cliente. La manipulación de cualquiera de los valores atenuados en las peticiones a /api/profile no están prohibidas en el lado del servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en una lista de tipos de archivos en Tangro Business Workflow (CVE-2020-26174)
Fecha de publicación:
18/12/2020
Idioma:
Español
Tangro Business Workflow versiones anteriores a 1.18.1, requiere una lista de tipos de archivos permitidos del servidor y restringe las cargas a los tipos de archivos contenidos en esta lista. Sin embargo, esta restricción es aplicada en el navegador (del lado del cliente) y puede ser omitida. Esto permite a un atacante cargar cualquier archivo como adjunto a un elemento de trabajo
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2020

Vulnerabilidad en el token cuando una sesión está activa en Tangro Business Workflow (CVE-2020-26172)
Fecha de publicación:
18/12/2020
Idioma:
Español
Cada inicio de sesión en Tangro Business Workflow versiones anteriores a 1.18.1, genera el mismo token JWT, que permite a un atacante reutilizar el token cuando una sesión está activa. El token JWT no contiene una marca de tiempo de expiración
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/12/2020

Vulnerabilidad en el documentId del documento en /api/document/attachments/upload en Tangro Business Workflow (CVE-2020-26171)
Fecha de publicación:
18/12/2020
Idioma:
Español
En Tangro Business Workflow versiones anteriores a 1.18.1, se puede manipular el documentId del documento de las cargas de adjuntos hacia /api/document/attachments/upload. Al hacer esto, los usuarios pueden agregar archivos adjuntos a los elementos de trabajo que no les pertenecen
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el control de acceso en la descarga de documentos (PDF) en Tangro Business Workflow (CVE-2020-26173)
Fecha de publicación:
18/12/2020
Idioma:
Español
Una implementación incorrecta del control de acceso en Tangro Business Workflow versiones anteriores a 1.18.1, permite a un atacante descargar documentos (PDF) al proporcionar un ID de documento y un token válidos. Una autenticación adicional no es requerida
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en los dispositivos móviles Samsung (chipsets Qualcomm SM8250) (CVE-2020-35553)
Fecha de publicación:
18/12/2020
Idioma:
Español
Se detectó un problema en los dispositivos móviles Samsung con versiones de software Q(10.0) y R(11.0) (chipsets Qualcomm SM8250). Permiten a atacantes causar una denegación de servicio (fallo de desbloqueo) al desencadenar un incidente power-shortage que causa una detección de ataque falso positivo. El ID de Samsung es SVE-2020-19678 (Diciembre de 2020)
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2020

Vulnerabilidad en el demonio GPS en los dispositivos móviles Samsung (chipsets no Qualcomm) (CVE-2020-35552)
Fecha de publicación:
18/12/2020
Idioma:
Español
Se detectó un problema en el demonio GPS en los dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0) (chipsets no Qualcomm). Unos atacantes pueden conseguir información confidencial sobre la ubicación porque el archivo de configuración es incorrecto. El ID de Samsung es SVE-2020-18678 (Diciembre de 2020)
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2020
Suscribirse a Vulnerabilidades