Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en creación de enlaces simbólicos en Snyk en snyk-broker (CVE-2020-7653)
Fecha de publicación:
29/05/2020
Idioma:
Español
Todas las versiones de snyk-broker anteriores a 4.80.0, son vulnerables a una Lectura de Archivos Arbitraria. Permite lecturas de archivos arbitrarias para usuarios con acceso a la red interna de Snyk, al crear enlaces simbólicos que coincidan con las rutas en la lista blanca.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en las funciones de irp en FreeRDP (CVE-2020-11089)
Fecha de publicación:
29/05/2020
Idioma:
Español
En FreeRDP versiones anteriores a 2.1.0, se presenta una lectura fuera de límite en las funciones de irp (parallel_process_irp_create, serial_process_irp_create, drive_process_irp_write, printer_process_irp_write, rdpei_recv_pdu, serial_process_irp_write). Esto ha sido corregido en la versión 2.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2023

Vulnerabilidad en la administración de la memoria en los productos CloudEngine 12800, CloudEngine 5800, CloudEngine 6800, CloudEngine 7800, NE40E, NE40E-F y NE40E-M (CVE-2020-1870)
Fecha de publicación:
29/05/2020
Idioma:
Español
Hay una vulnerabilidad denegación de servicio en algunos productos Huawei. Debido a una administración inapropiada de la memoria, pueden producirse fugas de memoria en algunos casos especiales. Los atacantes pueden llevar a cabo una serie de operaciones para explotar esta vulnerabilidad. Una explotación con éxito puede causar una denegación de servicio. Las versiones de productos afectados incluyen: CloudEngine 12800 versión V200R019C00SPC800; CloudEngine 5800 versión V200R019C00SPC800; CloudEngine 6800 versión V200R005C20SPC800, V200R019C00SPC800; CloudEngine 7800 versión V200R019C00SPC800; NE40E versión V800R011C00SPC200, V800R011C00SPC300, V800R011C10SPC100; NE40E-F versión V800R011C00SPC200, V800R011C10SPC100; NE40E-M versión V800R011C00SPC200, V800R011C10SPC100.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/11/2020

Vulnerabilidad en un mensaje desde la red adyacente en los productos E6878-370 (CVE-2020-1832)
Fecha de publicación:
29/05/2020
Idioma:
Español
Los productos E6878-370 con versiones de 10.0.3.1(H557SP27C233) y 10.0.3.1(H563SP1C00), presentan una vulnerabilidad de desbordamiento de búfer de la pila. El programa copia un búfer de entrada hacia un búfer de salida sin verificación. Un atacante en la red adyacente podría enviar un mensaje diseñado, una explotación con éxito podría conllevar a un desbordamiento de búfer de la pila que podría causar una ejecución de código malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2020

Vulnerabilidad en un error lógico en la función clock en los teléfonos inteligentes Honor 9X (CVE-2020-1833)
Fecha de publicación:
29/05/2020
Idioma:
Español
Los teléfonos inteligentes Honor 9X con versiones anteriores a 9.1.1.172(C00E170R8P1), presentan una vulnerabilidad de autenticación inapropiada. Un error lógico ocurre cuando se maneja la función clock, un atacante debe hacer una serie de operaciones diseñadas rápidamente antes de que el teléfono este desbloqueado, una explotación con éxito podría permitir a un atacante acceder a la información de clock sin desbloquear el teléfono.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/06/2020

Vulnerabilidad en el abridor de servicio en VMware Fusion, VMware Remote Console y VMware Horizon Client para Mac (CVE-2020-3957)
Fecha de publicación:
29/05/2020
Idioma:
Español
VMware Fusion (versiones 11.x anteriores a 11.5.5), VMware Remote Console para Mac (versiones anteriores a 11.x ) y VMware Horizon Client para Mac (versiones anteriores a 5.x), contienen una vulnerabilidad de escalada de privilegios local debido a un problema de tipo Time-of-check Time-of-use (TOCTOU) en el abridor de servicio. Una explotación con éxito de este problema puede permitir a atacantes con privilegios de usuario normal escalar sus privilegios a root en el sistema donde están instalados Fusion, VMRC y Horizon Client.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2021

Vulnerabilidad en la funcionalidad shader en el proceso vmx de la máquina virtual en VMware ESXi, VMware Workstation y VMware Fusion (CVE-2020-3958)
Fecha de publicación:
29/05/2020
Idioma:
Español
VMware ESXi (versiones 6.7 anteriores a ESXi670-202004101-SG y versiones 6.5 anteriores a ESXi650-202005401-SG), VMware Workstation (versiones 15.x anteriores a 15.5.2) y VMware Fusion (versiones 11.x anteriores a 11.5.2), contienen una vulnerabilidad de denegación de servicio en la funcionalidad shader. Una explotación con éxito de este problema puede permitir a atacantes con acceso no administrativo a una máquina virtual bloquear el proceso vmx de la máquina virtual, conllevando a una condición de denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el módulo VMCI en el proceso vmx de la máquina virtual en VMware ESXi, VMware Workstation y VMware Fusion (CVE-2020-3959)
Fecha de publicación:
29/05/2020
Idioma:
Español
VMware ESXi (versiones 6.7 anteriores a ESXi670-202004101-SG y versiones 6.5 anteriores a ESXi650-202005401-SG), VMware Workstation (versiones 15.x anteriores a 15.1.0) y VMware Fusion (versiones 11.x anteriores a 11.1.0), contienen una vulnerabilidad de fuga de la memoria en el módulo VMCI. Un agente malicioso con acceso no administrativo local a una máquina virtual puede ser capaz de bloquear el proceso vmx de la máquina virtual, conllevando a una denegación de servicio parcial.
Gravedad CVSS v3.1: BAJA
Última modificación:
21/07/2021

Vulnerabilidad en la función digital balance en el modo ADB en los teléfonos inteligentes HUAWEI Mate 20 (CVE-2020-1797)
Fecha de publicación:
29/05/2020
Idioma:
Español
Los teléfonos inteligentes HUAWEI Mate 20 con versiones anteriores a la 10.0.0.185(C00E74R3P8), presentan una vulnerabilidad de autorización inapropiada. El sistema no restringe apropiadamente el funcionamiento en el modo ADB, una explotación con éxito podría permitir a determinados usuarios romper el límite de la función digital balance.
Gravedad CVSS v3.1: BAJA
Última modificación:
21/07/2021

Vulnerabilidad en una serie de operaciones de voz en el asistente de voz en los teléfonos inteligentes HUAWEI Mate 10 (CVE-2020-1809)
Fecha de publicación:
29/05/2020
Idioma:
Español
Los teléfonos inteligentes HUAWEI Mate 10 con versiones anteriores a la 10.0.0.143(C00E143R2P4), presentan una vulnerabilidad de divulgación de información. El atacante podría activar al asistente de voz y luego hacer una serie de operaciones de voz diseñadas, una explotación con éxito podría permitir a un atacante leer determinados archivos sin desbloquear el teléfono, conllevando a una divulgación de información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en la función ntlm_read_AuthenticateMessage en FreeRDP (CVE-2020-11087)
Fecha de publicación:
29/05/2020
Idioma:
Español
En FreeRDP versiones anteriores o iguales a 2.0.0, se presenta una lectura fuera de límites en la función ntlm_read_AuthenticateMessage. Esto ha sido corregido en la versión 2.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2023

Vulnerabilidad en la función ntlm_read_NegotiateMessage en FreeRDP (CVE-2020-11088)
Fecha de publicación:
29/05/2020
Idioma:
Español
En FreeRDP versiones anteriores o iguales a 2.0.0, se presenta una lectura fuera de límite en la función ntlm_read_NegotiateMessage. Esto ha sido corregido en la versión 2.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2023
Suscribirse a Vulnerabilidades