Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la API REST /debugFiles en el servidor de Orchestrator en Silver Peak Unity Orchestrator (CVE-2020-12146)
Fecha de publicación:
05/11/2020
Idioma:
Español
En Silver Peak Unity Orchestrator versiones anteriores a 8.9.11+, 8.10.11+ o 9.0.1+, un usuario autenticado puede acceder, modificar y eliminar archivos restringidos en el servidor de Orchestrator usando la API REST /debugFiles
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2020

Vulnerabilidad en un nombre de host en la opción Open On Browser en Telerik Fiddler (CVE-2020-13661)
Fecha de publicación:
05/11/2020
Idioma:
Español
Telerik Fiddler versiones hasta 5.0.20202.18177, permite a atacantes ejecutar programas arbitrarios por medio de un nombre de host con un carácter de espacio final, seguido de --utility-and-browser --utility-cmd-prefix= y el nombre de ruta de un programa instalado localmente. La víctima debe elegir interactivamente la opción Open On Browser. Corregido en la versión 5.0.20204
Gravedad CVSS v3.1: ALTA
Última modificación:
13/11/2020

Vulnerabilidad en la funcionalidad "Notes" en el campo "Description" debajo de la opción "Insert To-Do" en la aplicación web Marmind (CVE-2020-26507)
Fecha de publicación:
05/11/2020
Idioma:
Español
Una vulnerabilidad CSV Injection (también se conoce como Formula Injection) en la aplicación web Marmind con versión 4.1.141.0, permite a usuarios maliciosos conseguir control remoto de otras computadoras. Al proporcionar un código de fórmula en la funcionalidad "Notes" en la pantalla principal, un atacante puede inyectar una carga útil en el campo "Description" debajo de la opción "Insert To-Do". Otros usuarios pueden descargar estos datos, por ejemplo, un archivo CSV, y ejecutar los comandos maliciosos en su computadora al abrir un archivo con un software como Microsoft Excel. El atacante podría conseguir acceso remoto a la PC del usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
19/11/2020

Vulnerabilidad en la carga de un archivo PDF en la función "Assets Upload" en la aplicación web "Marmind" (CVE-2020-26505)
Fecha de publicación:
05/11/2020
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en la aplicación web "Marmind" con versión 4.1.141.0, permite a un atacante inyectar código que luego será ejecutado por usuarios legítimos cuando abran los activos que contienen el código JavaScript. Esto permitiría a un atacante llevar a cabo acciones no autorizadas en la aplicación en nombre de usuarios legítimos o difundir malware por medio de la aplicación. Al usar la función "Assets Upload", un atacante puede abusar de la función de carga para cargar un archivo PDF malicioso que contenga una vulnerabilidad de tipo XSS almacenado
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/11/2020

Vulnerabilidad en configuración multiusuario en IBM QRadar SIEM (CVE-2018-1725)
Fecha de publicación:
05/11/2020
Idioma:
Español
IBM QRadar SIEM versiones 7.3 y 7.4, en una configuración multiusuario podría ser vulnerable a una divulgación de información. IBM X-Force ID: 147440
Gravedad CVSS v3.1: BAJA
Última modificación:
12/11/2020

Vulnerabilidad en una URL en HCL Digital Experience (CVE-2020-14222)
Fecha de publicación:
05/11/2020
Idioma:
Español
HCL Digital Experience versiones 8.5, 9.0, 9.5 es susceptible a un ataque de tipo cross site scripting (XSS). Un subcomponente es vulnerable a un ataque de tipo XSS reflejado. En el ataque de tipo XSS reflejado, un atacante debe inducir a una víctima a hacer clic en una URL diseñada desde algún mecanismo de entrega (correo electrónico, otro sitio web)
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2020

Vulnerabilidad en el manejo del parámetro de entrada del cliente HCL Notes (CVE-2020-4097)
Fecha de publicación:
05/11/2020
Idioma:
Español
En HCL Notes versión 9 anterior a la versión 9.0.1 FixPack 10 Interim Fix 8, versión 10 anterior a versión 10.0.1 FixPack 6 y versión 11 anterior a 11.0.1 FixPack 1, una vulnerabilidad en el manejo del parámetro de entrada del cliente Notes podría potencialmente ser explotado por un atacante resultando en un desbordamiento del búfer. Esto podría permitir a un atacante bloquear HCL Notes o ejecutar código controlado por el atacante en el cliente
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/11/2020

Vulnerabilidad en el navegador Web de la víctima en HCL Notes (CVE-2020-14240)
Fecha de publicación:
05/11/2020
Idioma:
Español
HCL Notes versiones anteriores a 9.0.1 FP10 IF8, 10.0.1 FP6 y 11.0.1 FP1, son susceptibles a una vulnerabilidad de tipo Cross-site Scripting (XSS) almacenado. Un atacante podría usar esta vulnerabilidad para ejecutar un script en el navegador Web de la víctima dentro del contexto de seguridad del sitio Web de alojamiento y/o robar unas credenciales de autenticación basadas en cookies de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/11/2020

Vulnerabilidad en la funcionalidad de exportación csv en InterMind iMind Server (CVE-2020-25398)
Fecha de publicación:
05/11/2020
Idioma:
Español
Una inyección CSV se presenta en InterMind iMind Server versiones hasta 3.13.65, por medio de la funcionalidad de exportación csv
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2020

Vulnerabilidad en la GUI web en la aplicación web Marmind (CVE-2020-26506)
Fecha de publicación:
05/11/2020
Idioma:
Español
Una vulnerabilidad de Omisión de Autorización en la aplicación web Marmind con versión 4.1.141.0, permite a usuarios con privilegios más bajos conseguir el control de los archivos cargados por los usuarios administrativos. Los archivos accedidos no eran visibles para usuarios pocos privilegiados en la GUI web
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el envío de un archivo en el chat en InterMind iMind Server (CVE-2020-25399)
Fecha de publicación:
05/11/2020
Idioma:
Español
Una vulnerabilidad de tipo XSS almacenado en InterMind iMind Server versiones hasta 3.13.65, permite a cualquier usuario secuestrar la sesión de otro usuario mediante el envío de un archivo malicioso en el chat
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el parámetro object_path en "Documents component" en AudimexEE (CVE-2020-28115)
Fecha de publicación:
05/11/2020
Idioma:
Español
Una vulnerabilidad de inyección SQL en "Documents component" que se encuentra en AudimexEE versión 14.1.0, permite a un atacante ejecutar comandos SQL arbitrarios por medio del parámetro object_path
Gravedad CVSS v3.1: ALTA
Última modificación:
10/11/2020
Suscribirse a Vulnerabilidades