Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un archivo de programa en la estación de trabajo de Rockwell Automation Arena Simulation Software (CVE-2019-13521)
Fecha de publicación:
27/01/2020
Idioma:
Español
Un archivo de programa diseñado con fines maliciosos abierto por parte de un usuario desprevenido de Rockwell Automation Arena Simulation Software versión 16.00.00 y anteriores, puede resultar en una exposición limitada de la información relacionada con la estación de trabajo apuntada. Rockwell Automation ha publicado la versión 16.00.01 de Arena Simulation Software para abordar las vulnerabilidades reportadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2024

Vulnerabilidad en el archivo svg.swf en TYPO3 ELTS (CVE-2020-8091)
Fecha de publicación:
27/01/2020
Idioma:
Español
El archivo svg.swf en TYPO3 versiones 6.2.0 hasta 6.2.38 ELTS y versiones 7.0.0 hasta 7.1.0, podría permitir a un atacante remoto no autenticado conducir un ataque de tipo cross-site scripting (XSS) en un sistema apuntado. Esto puede estar en un nombre de ruta contrib/websvg/svg.swf.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2020

Vulnerabilidad en el campo Username en la configuración del Storage Service de los dispositivos A1 WLAN Box ADB (CVE-2020-8090)
Fecha de publicación:
27/01/2020
Idioma:
Español
El campo Username en la configuración del Storage Service de los dispositivos A1 WLAN Box ADB versión VV2220v2, permite un ataque de tipo XSS almacenado (después de un inicio de sesión de Administrador con éxito).
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2020

Vulnerabilidad en el parámetro "what" en AWS XMS (CVE-2013-2474)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de salto de directorio en AWS XMS versión 2.5, permite a atacantes remotos visualizar archivos arbitrarios por medio del parámetro "what".
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2020

Vulnerabilidad en vectores no especificados en cPanel WebHost Manager (WHM) (CVE-2012-6448)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en cPanel WebHost Manager (WHM) versión 11.34.0, permite a atacantes remotos inyectar script web o HTML arbitrario, por medio de vectores no especificados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2020

Vulnerabilidad en código PHP en FUDforum Bulletin Board Software (CVE-2013-2267)
Fecha de publicación:
27/01/2020
Idioma:
Español
La vulnerabilidad de inyección de código PHP en FUDforum Bulletin Board Software versión 3.0.4, podría permitir a atacantes remotos ejecutar código arbitrario sobre el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2020

Vulnerabilidad en la Interfaz de Usuario Web en Huawei E587 3G Mobile Hotspot (CVE-2013-2612)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de inyección de Comandos en Huawei E587 3G Mobile Hotspot versión 11.203.27, permite a atacantes remotos ejecutar comandos de shell arbitrarios con privilegios root debido a un error en la Interfaz de Usuario Web.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/01/2020

Vulnerabilidad en autenticación en el archivo "user_manager.php" en SimpleHRM (CVE-2013-2499)
Fecha de publicación:
27/01/2020
Idioma:
Español
SimpleHRM versiones 2.3 y anteriores, podrían permitir a atacantes remotos omitir el proceso de autenticación en el archivo "user_manager.php" por medio de una falsificación de cookie.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2020

Vulnerabilidad en parámetro GET de _channel_code en entornos de producción en kernel.debug en Sylius (CVE-2020-5218)
Fecha de publicación:
27/01/2020
Idioma:
Español
Las versiones afectadas de Sylius otorgan a atacantes la capacidad de cambiar canales por medio del parámetro GET de _channel_code en entornos de producción. Esto estaba destinado a ser habilitado solo cuando kernel.debug es seteado en verdadero. Sin embargo, si no se establece explícitamente sylius_channel.debug en la configuración, el valor predeterminado que es kernel.debug no se resolverá y se convertirá en booleano, habilitando esta funcionalidad de depuración incluso si ese parámetro se establece en falso. El path se ha proporcionado para Sylius versiones 1.3.x y posteriores; versiones 1.3.16, 1.4.12, 1.5.9, 1.6.5. Las versiones anteriores a la 1.3 ya no están cubiertas por nuestro soporte de seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2020

Vulnerabilidad en encabezado HTTP en API Shop en Sylius ResourceBundle (CVE-2020-5220)
Fecha de publicación:
27/01/2020
Idioma:
Español
Sylius ResourceBundle acepta y usa cualquier grupo de serialización para ser pasado por medio de un encabezado HTTP. Esto podría conllevar a una exposición de datos mediante el uso de un grupo de serialización no intencionado; por ejemplo, esto podría hacer que la API Shop use un grupo más permisivo desde la API Admin. Cualquier persona que exponga una API con el controlador de ResourceBundle está afectada. Las versiones vulnerables son: versiones anteriores a 1.3 || versiones desde 1.3.0 hasta 1.3.12, incluyéndolas || versiones desde 1.4.0 hasta 1.4.5, incluyéndolas || versiones desde 1.5.0 hasta 1.5.0, incluyéndolas || versiones desde 1.6.0 hasta 1.6.2, incluyéndolas. El parche es proporcionado para Sylius ResourceBundle versiones 1.3.13, 1.4.6, 1.5.1 y 1.6.3, pero no para las versiones por debajo de 1.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2020

Vulnerabilidad en el parámetro vlu_diagnostic_tools__ping_address en el acceso a la pantalla Network Diagnostic Tools en los dispositivos SMC Networks (CVE-2020-8087)
Fecha de publicación:
27/01/2020
Idioma:
Español
Los dispositivos SMC Networks versiones D3G0804W D3GNV5M-3.5.1.6.10_GA, permiten una ejecución de comandos remota al aprovechar el acceso a la pantalla Network Diagnostic Tools, como es demostrado por un inicio de sesión de administrador. El atacante debe utilizar un abordaje de Contaminación de Parámetro contra goform/formSetDiagnosticToolsFmPing al proporcionar un parámetro vlu_diagnostic_tools__ping_address dos veces: una con un metacarácter de shell y un nombre de comando, y una vez con un argumento de comando.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo panel_login.php en los hashes de contraseña en UseBB (CVE-2020-8088)
Fecha de publicación:
27/01/2020
Idioma:
Español
El archivo panel_login.php en UseBB versión 1.0.12, permite un malabarismo de tipos para omitir el inicio de sesión porque != es usado en lugar de !== para los hashes de contraseña, que maneja inapropiadamente los hash que comienzan con 0e seguidos de caracteres exclusivamente numéricos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades