Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el instalador del Sensor de macOS para VMware Carbon Black Cloud (CVE-2020-4008)
Fecha de publicación:
16/12/2020
Idioma:
Español
El instalador del sensor de macOS para VMware Carbon Black Cloud (anterior a la versión 3.5.1) maneja ciertos archivos de forma insegura. Un actor malicioso que tenga acceso local al endpoint en el que se va a instalar un sensor de macOS, puede sobrescribir un número limitado de archivos con la salida de la instalación del sensor
Gravedad CVSS v3.1: BAJA
Última modificación:
13/06/2022

Vulnerabilidad en la base de datos local en SolarWinds N-Central (CVE-2020-25621)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en SolarWinds N-Central versión 12.3.0.670. La base de datos local no requiere autenticación: la seguridad solo es basada en la capacidad de acceder a una interfaz de red. La base de datos contiene claves y contraseñas
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el endpoint HTTP AdvancedScripts en SolarWinds N-Central (CVE-2020-25617)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en SolarWinds N-Central versión 12.3.0.670. El endpoint HTTP AdvancedScripts permite un Salto de Ruta Relativo por parte de un usuario autenticado del N-Central Administration Console (NAC), conllevando a una ejecución de los comandos del Sistema Operativo como root
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2020

Vulnerabilidad en la configuración de sudo en la cuenta de usuario web nable en SolarWinds N-Central (CVE-2020-25618)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en SolarWinds N-Central versión 12.3.0.670. La configuración de sudo presenta un control de acceso incorrecto porque la cuenta de usuario web nable puede ejecutar comandos arbitrarios del Sistema Operativo como root (es decir, el uso de privilegios root no se limita a los programas específicos listados en el archivo sudoers)
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2020

Vulnerabilidad en el componente SSH en el Canal de Comunicación en SolarWinds N-Central (CVE-2020-25619)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en SolarWinds N-Central versión 12.3.0.670. El componente SSH no restringe el Canal de Comunicación a unos Endpoints Previstos. Un atacante puede aprovechar una función SSH (reenvío de puertos con un par de claves temporales) para acceder a los servicios de red en la interfaz 127.0.0.1, aunque esta función solo estaba destinada a la comunicación de usuario a agente
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/12/2020

Vulnerabilidad en el protocolo RPC en un CK_ATTRIBUTE en p11-kit (CVE-2020-29363)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en p11-kit versiones 0.23.6 hasta 0.23.21. Se ha detectado un desbordamiento de búfer en la región heap de la memoria en el protocolo RPC usado por los comandos remotos del servidor p11-kit y la biblioteca cliente. Cuando la entidad remota proporciona una matriz de bytes serializados en un CK_ATTRIBUTE, es posible que la entidad receptora no asigne una longitud suficiente para que el búfer almacene el valor deserializado
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2022

Vulnerabilidad en una llamada de función PKCS#11 serializada en el protocolo RPC en p11-kit (CVE-2020-29362)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en p11-kit versiones 0.21.1 hasta 0.23.21. Se ha detectado una lectura excesiva de búfer en la región heap de la memoria en el protocolo RPC usado por los comandos remotos del servidor p11-kit y la biblioteca cliente. Cuando la entidad remota suministra una matriz de bytes por medio de una llamada de función PKCS#11 serializada, la entidad receptora puede permitir la lectura de hasta 4 bytes de memoria más allá de la asignación de la pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2021

Vulnerabilidad en la biblioteca p11-kit y el comando de lista p11-kit en p11-kit (CVE-2020-29361)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en p11-kit versiones 0.21.1 hasta 0.23.21. Se han detectado múltiples desbordamientos de enteros en las asignaciones de matrices en la biblioteca de p11-kit y el comando de lista p11-kit, donde faltan comprobaciones de desbordamiento antes de llamar a realloc o calloc
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el paquete datatables.net (CVE-2020-28458)
Fecha de publicación:
16/12/2020
Idioma:
Español
Todas las versiones del paquete datatables.net son vulnerables a una contaminación de prototipos debido a una corrección incompleta para https://snyk.io/vuln/SNYK-JS-DATATABLESNET-598806
Gravedad CVSS v3.1: ALTA
Última modificación:
21/06/2024

Vulnerabilidad en la carga de un archivo en GROWI (CVE-2020-5683)
Fecha de publicación:
16/12/2020
Idioma:
Español
Una vulnerabilidad de salto de directorio en GROWI versiones anteriores a v4.2.3 (Serie v4.2), GROWI versiones anteriores a v4.1.12 (Serie v4.1), y series GROWI versiones v3 y anteriores a GROWI versiones anteriores a v4.2.3 (Serie v4.2 ), GROWI versiones anteriores a v4.1.12 (Serie v4.1) y la serie GROWI versiones v3 y anteriores, permiten a atacantes remotos alterar los datos cargando un archivo especialmente diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2020

Vulnerabilidad en vectores no especificados en GROWI (CVE-2020-5682)
Fecha de publicación:
16/12/2020
Idioma:
Español
Una comprobación inapropiada de entrada GROWI versiones anteriores a v4.2.3 (Serie v4.2), GROWI versiones anteriores a v4.1.12 (Serie v4.1) y serie GROWI v3 y versiones anteriores a GROWI versiones anteriores a v4.2.3 (Serie v4.2 ), GROWI versiones anteriores a v4.1.12 (Serie v4.1) y la serie GROWI versiones v3 y anteriores, permiten a atacantes remotos causar una denegación de servicio por medio de vectores no especificados
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el parámetro yrange en el script de shell mygnuplot.sh en OpenTSDB (CVE-2020-35476)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se produce una vulnerabilidad de ejecución de código remota en OpenTSDB versiones hasta 2.4.0, por medio de la inyección de comandos en el parámetro yrange. El valor de yrange se escribe en un archivo gnuplot en el directorio /tmp. Luego, este archivo es ejecutado por medio del script de shell mygnuplot.sh. (tsd/GraphHandler.java intentó evitar las inyecciones de comandos al bloquear las comillas inversas, pero esto es insuficiente)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2023
Suscribirse a Vulnerabilidades