Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el protocolo RPC en un CK_ATTRIBUTE en p11-kit (CVE-2020-29363)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en p11-kit versiones 0.23.6 hasta 0.23.21. Se ha detectado un desbordamiento de búfer en la región heap de la memoria en el protocolo RPC usado por los comandos remotos del servidor p11-kit y la biblioteca cliente. Cuando la entidad remota proporciona una matriz de bytes serializados en un CK_ATTRIBUTE, es posible que la entidad receptora no asigne una longitud suficiente para que el búfer almacene el valor deserializado
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2022

Vulnerabilidad en una llamada de función PKCS#11 serializada en el protocolo RPC en p11-kit (CVE-2020-29362)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en p11-kit versiones 0.21.1 hasta 0.23.21. Se ha detectado una lectura excesiva de búfer en la región heap de la memoria en el protocolo RPC usado por los comandos remotos del servidor p11-kit y la biblioteca cliente. Cuando la entidad remota suministra una matriz de bytes por medio de una llamada de función PKCS#11 serializada, la entidad receptora puede permitir la lectura de hasta 4 bytes de memoria más allá de la asignación de la pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2021

Vulnerabilidad en la biblioteca p11-kit y el comando de lista p11-kit en p11-kit (CVE-2020-29361)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se detectó un problema en p11-kit versiones 0.21.1 hasta 0.23.21. Se han detectado múltiples desbordamientos de enteros en las asignaciones de matrices en la biblioteca de p11-kit y el comando de lista p11-kit, donde faltan comprobaciones de desbordamiento antes de llamar a realloc o calloc
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el paquete datatables.net (CVE-2020-28458)
Fecha de publicación:
16/12/2020
Idioma:
Español
Todas las versiones del paquete datatables.net son vulnerables a una contaminación de prototipos debido a una corrección incompleta para https://snyk.io/vuln/SNYK-JS-DATATABLESNET-598806
Gravedad CVSS v3.1: ALTA
Última modificación:
21/06/2024

Vulnerabilidad en la carga de un archivo en GROWI (CVE-2020-5683)
Fecha de publicación:
16/12/2020
Idioma:
Español
Una vulnerabilidad de salto de directorio en GROWI versiones anteriores a v4.2.3 (Serie v4.2), GROWI versiones anteriores a v4.1.12 (Serie v4.1), y series GROWI versiones v3 y anteriores a GROWI versiones anteriores a v4.2.3 (Serie v4.2 ), GROWI versiones anteriores a v4.1.12 (Serie v4.1) y la serie GROWI versiones v3 y anteriores, permiten a atacantes remotos alterar los datos cargando un archivo especialmente diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2020

Vulnerabilidad en vectores no especificados en GROWI (CVE-2020-5682)
Fecha de publicación:
16/12/2020
Idioma:
Español
Una comprobación inapropiada de entrada GROWI versiones anteriores a v4.2.3 (Serie v4.2), GROWI versiones anteriores a v4.1.12 (Serie v4.1) y serie GROWI v3 y versiones anteriores a GROWI versiones anteriores a v4.2.3 (Serie v4.2 ), GROWI versiones anteriores a v4.1.12 (Serie v4.1) y la serie GROWI versiones v3 y anteriores, permiten a atacantes remotos causar una denegación de servicio por medio de vectores no especificados
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el parámetro yrange en el script de shell mygnuplot.sh en OpenTSDB (CVE-2020-35476)
Fecha de publicación:
16/12/2020
Idioma:
Español
Se produce una vulnerabilidad de ejecución de código remota en OpenTSDB versiones hasta 2.4.0, por medio de la inyección de comandos en el parámetro yrange. El valor de yrange se escribe en un archivo gnuplot en el directorio /tmp. Luego, este archivo es ejecutado por medio del script de shell mygnuplot.sh. (tsd/GraphHandler.java intentó evitar las inyecciones de comandos al bloquear las comillas inversas, pero esto es insuficiente)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2023

Vulnerabilidad en el uso del verbo ATTACH de sqlite en osquery (CVE-2020-26273)
Fecha de publicación:
16/12/2020
Idioma:
Español
osquery es un framework de instrumentación, monitoreo y análisis del sistema operativo basado en SQL. En osquery versiones anteriores a 4.6.0, al usar el verbo ATTACH de sqlite, alguien con acceso administrativo a osquery puede causar lecturas y escrituras en bases de datos sqlite arbitrarias sobre el disco. Este _does_ permite que archivos arbitrarios sean creados, pero serán bases de datos sqlite. No parece permitir que se sobrescriban los archivos existentes que no son sqlite. Esto ha sido parcheado en osquery versión 4.6.0. Se presentan varios factores atenuantes y posibles soluciones. En algunas implementaciones, las personas con acceso a estas interfaces pueden considerarse administradores. En algunas implementaciones, la configuración es administrada por una herramienta central. Esta herramienta puede filtrar por la palabra clave "ATTACH". osquery puede ser ejecutado como usuario no root. Porque esto también limita los niveles de acceso deseados, esto requiere pruebas y configuración específica de la implementación
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2020

Vulnerabilidad en la lista negra predeterminada del Security Framework en XStream (CVE-2020-26258)
Fecha de publicación:
16/12/2020
Idioma:
Español
XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream versiones anteriores a 1.4.15, puede ser activada una vulnerabilidad de tipo Server-Side Forgery Request al desagrupar. La vulnerabilidad puede permitir a un atacante remoto solicitar datos de recursos internos que no están disponibles públicamente solo mediante la manipulación del flujo de entrada procesado. Si confía en la lista negra predeterminada de XStream del Security Framework, tendrá que usar al menos la versión 1.4.15. La vulnerabilidad reportada no existe si se ejecuta Java versión 15 o superior. Ningún usuario es afectado si siguió la recomendación de configurar el Security Framework de XStream con una lista blanca! Cualquiera que confíe en la lista negra predeterminada de XStream puede cambiar inmediatamente a una lista blanca para los tipos permitidos para evitar la vulnerabilidad. Usuarios de XStream 1.4 o por debajo, quienes aún quieran usar la lista negra predeterminada de XStream pueden usar una solución alternativa que se describe con más detalle en los avisos a los que se hace referencia
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/05/2025

Vulnerabilidad en la lista negra predeterminada del Security Framework en XStream (CVE-2020-26259)
Fecha de publicación:
16/12/2020
Idioma:
Español
XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream versiones anteriores a 1.4.15, es vulnerable a una Eliminación Arbitraria de Archivos en el host local al desagrupar. La vulnerabilidad puede permitir a un atacante remoto eliminar archivos conocidos arbitrarios en el host como registro, ya que el proceso en ejecución posee derechos suficientes solo mediante la manipulación del flujo de entrada procesado. Si confía en la lista negra predeterminada de XStream del Security Framework, tendrá que usar al menos la versión 1.4.15. La vulnerabilidad reportada no se presenta al ejecutar Java versión 15 o superior. Ningún usuario está afectado, si siguió la recomendación de configurar el Security Framework de XStream con una lista blanca! Cualquiera que confíe en la lista negra predeterminada de XStream puede cambiar inmediatamente a una lista blanca para los tipos permitidos para evitar la vulnerabilidad. Usuarios de XStream 1.4 o por debajo, quienes aún quieran usar la lista negra predeterminada de XStream pueden usar una solución alternativa que se describe con más detalle en los avisos a los que se hace referencia
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/05/2025

Vulnerabilidad en la imagen de Docker de Software AG Terracotta Server OSS (CVE-2020-35469)
Fecha de publicación:
16/12/2020
Idioma:
Español
La imagen de Docker de Software AG Terracotta Server OSS versión 5.4.1, contiene una contraseña en blanco para el usuario root. Los sistemas implementados con versiones afectadas del contenedor Terracotta Server OSS pueden permitir a un atacante remoto alcanzar acceso root con una contraseña en blanco
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/12/2020

Vulnerabilidad en una contraseña en blanco en la imagen de Docker de Appbase streams (CVE-2020-35468)
Fecha de publicación:
16/12/2020
Idioma:
Español
La imagen de Docker de Appbase streams versión 2.1.2, contiene una contraseña en blanco para el usuario root. Los sistemas implementados con las versiones afectadas del contenedor de streams pueden permitir a un atacante remoto alcanzar acceso root con una contraseña en blanco
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/12/2020
Suscribirse a Vulnerabilidades