Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo ultimate-category-excluder.php en el plugin ultimate-category-excluder para WordPress (CVE-2020-35135)
Fecha de publicación:
11/12/2020
Idioma:
Español
El plugin ultimate-category-excluder versiones anteriores a 1.2 para WordPress, permite un ataque de tipo CSRF en el archivo ultimate-category-excluder.php
Gravedad CVSS v3.1: ALTA
Última modificación:
06/08/2022

Vulnerabilidad en el archivo plugins/bookmarks/createbookmark.jsp en Ignite Realtime Openfire (CVE-2020-35127)
Fecha de publicación:
11/12/2020
Idioma:
Español
Ignite Realtime Openfire versión 4.6.0, presenta una vulnerabilidad de tipo XSS Almacenado del archivo plugins/bookmarks/createbookmark.jsp
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/12/2020

Vulnerabilidad en un nombre de consulta específico para la búsqueda de un proyecto en Gitlab (CVE-2020-26411)
Fecha de publicación:
11/12/2020
Idioma:
Español
Se detectó una posible vulnerabilidad de DOS en todas las versiones de Gitlab desde 13.4.x (versiones anteriores 13.4 e incluyéndola a versiones posteriores 13.4.7, versiones anteriores a 13.5 incluyéndola a versiones posteriores a 13.5.5 y versiones anteriores a 13.6 incluyéndola a versiones posteriores a 13.6.2). Usando un nombre de consulta específico para la búsqueda de un proyecto puede causar tiempos de espera de sentencia que pueden conllevar a un DOS potencial si es abusado
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2020

Vulnerabilidad en la biblioteca lib/function.php en la función get_request en phpLDAPadmin (CVE-2020-35132)
Fecha de publicación:
11/12/2020
Idioma:
Español
Se detectó un problema de tipo XSS en phpLDAPadmin versiones anteriores a 1.2.6.2, que permite a usuarios almacenar valores maliciosos que pueden ser ejecutados por otros usuarios en un momento posterior por medio de la función get_request en la biblioteca lib/function.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la implementación del kernel de Linux de MIDI (CVE-2020-27786)
Fecha de publicación:
11/12/2020
Idioma:
Español
Se encontró un fallo en la implementación de MIDI en el kernel de Linux, donde un atacante con una cuenta local y los permisos para emitir comandos ioctl a dispositivos midi podría desencadenar un problema de uso después de la liberación. Una escritura en esta memoria específica mientras está liberada y antes de su uso hace que el flujo de ejecución cambie y posiblemente permita la corrupción de memoria o la escalada de privilegios. La mayor amenaza de esta vulnerabilidad es para la confidencialidad, la integridad y la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
16/05/2023

Vulnerabilidad en GraphQL en GitLab CE/EE (CVE-2020-26417)
Fecha de publicación:
11/12/2020
Idioma:
Español
Una divulgación de información por medio de GraphQL en GitLab CE/EE versiones 13.1 y posteriores, expone la membresía a grupos privados y proyectos. Esto afecta a las versiones posteriores a 13.6 incluyéndola hasta versiones anteriores a 13.6.2, versiones anteriores a 13.5 incluyéndola hasta versiones anteriores a 13.5.5 y versiones posteriores a 13.1 incluyéndola hasta versiones anteriores a 13.4.7
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2020

Vulnerabilidad en GraphQL en GitLab CE/EE (CVE-2020-26413)
Fecha de publicación:
11/12/2020
Idioma:
Español
Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones desde la 13.4 anteriores a 13.6.2. Una divulgación de información por medio de GraphQL resulta en que el correo electrónico del usuario sea visible inesperadamente
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2020

Vulnerabilidad en un URI Admin/Configuration en el Título Site en Typesetter CMS (CVE-2020-35126)
Fecha de publicación:
11/12/2020
Idioma:
Español
**EN DISPUTA** Typesetter CMS versiones 5.x hasta 5.1, permite a administradores conducir ataques de tipo XSS persistente del Título Site por medio de un URI Admin/Configuration. NOTA: La importancia de este reporte es disputada porque "admins are considered trustworthy."
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2024

Vulnerabilidad en una lista de usuarios correspondiente a un flag feature en un proyecto en Gitlab CE/EE (CVE-2020-13357)
Fecha de publicación:
11/12/2020
Idioma:
Español
Se detectó un problema en Gitlab CE/EE versiones posteriores a 13.1 incluyéndola hasta versiones anteriores a 13.4.7, versiones posteriores a 13.5 incluyéndola hasta versiones anteriores a 13.5.5 y versiones posteriores 13.6 incluyéndola hasta versiones anteriores a 13.6.2, permitieron a un usuario no autorizado acceder a la lista de usuarios correspondiente a un flag feature en un proyecto
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2020

Vulnerabilidad en la reconstrucción de rutas a partir de los archivos USD binarios en Pixar OpenUSD (CVE-2020-13520)
Fecha de publicación:
11/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de corrupción de memoria fuera de límites en la forma en que Pixar OpenUSD versión 20.05, reconstruye rutas a partir de archivos USD binarios. Un archivo malformado especialmente diseñado puede desencadenar una modificación de la memoria fuera de límites que puede resultar en una ejecución de código remota. Para desencadenar esta vulnerabilidad, la víctima debe acceder a un archivo malformado proporcionado por el atacante
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en la funcionalidad del servidor Ethernet/IP del EIP Stack Group OpENer (CVE-2020-13530)
Fecha de publicación:
11/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de denegación de servicio en la funcionalidad del servidor Ethernet/IP del EIP Stack Group OpENer versión 2.3 y el commit de desarrollo 8c73bf3. Un gran número de peticiones de red en un período de tiempo reducido puede causar que el programa en ejecución se detenga. Un atacante es capaz de enviar una secuencia de peticiones para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en la funcionalidad del servidor Ethernet/IP de EIP Stack Group OpENer (CVE-2020-13556)
Fecha de publicación:
11/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de escritura fuera de límites en la funcionalidad del servidor Ethernet/IP de EIP Stack Group OpENer versión 2.3 y el Commit de desarrollo 8c73bf3. Una serie de peticiones de red especialmente diseñadas puede conllevar a una ejecución de código remota. Un atacante es capaz de enviar una secuencia de peticiones para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/06/2022
Suscribirse a Vulnerabilidades