Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ampache (CVE-2020-15153)
Fecha de publicación:
30/04/2021
Idioma:
Español
Ampache versiones anteriores a 4.2.2, permite a usuarios no autenticados llevar a cabo una inyección SQL. Consulte el Aviso de seguridad de GitHub al que se hace referencia para obtener detalles y una solución alternativa. Esto es corregido en versión 4.2.2 y en la rama de desarrollo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/05/2021

Vulnerabilidad en el servidor SUSI.AI (CVE-2020-4039)
Fecha de publicación:
30/04/2021
Idioma:
Español
SUSI.AI es un asistente personal inteligente de código abierto. El servidor SUSI.AI versiones anteriores a d27ed0f, presenta una vulnerabilidad de salto de directorio debido a una comprobación insuficiente de la entrada. El atacante puede recuperar cualquier configuración de administrador y archivo legible por la aplicación. Además, algunos archivos también se pueden mover o eliminar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/08/2022

Vulnerabilidad en el envío de firmas XML en el paquete github.com/russellhaering/gosaml2 (CVE-2020-7731)
Fecha de publicación:
30/04/2021
Idioma:
Español
Esto afecta a todas las versiones del paquete github.com/russellhaering/gosaml2. Se presenta un fallo en la desreferencia de puntero null causada por el envío de firmas XML malformadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2023

Vulnerabilidad en el componente pritunl-service en Pritunl Client (CVE-2020-27519)
Fecha de publicación:
30/04/2021
Idioma:
Español
Pritunl Client versión v1.2.2550.20, contiene una vulnerabilidad de escalada de privilegios local en el componente pritunl-service. El vector de ataque es: configuración maliciosa de openvpn. Un atacante local podría aprovechar el registro y agregar registros junto con la inyección de registros para crear o agregar archivos de script privilegiados y ejecutar código como root y SYSTEM.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/05/2021

Vulnerabilidad en una entrada en un archivo ZIP en Zoho ManageEngine Eventlog Analyzer (CVE-2021-28959)
Fecha de publicación:
30/04/2021
Idioma:
Español
Zoho ManageEngine Eventlog Analyzer versiones hasta 12147, es vulnerable al salto de directorio no autenticado por medio de una entrada en un archivo ZIP. Esto conlleva a una ejecución de código remota.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/05/2021

Vulnerabilidad en un webhook cuando es usado experimental.alertmanager.enable-api en Alertmanager en Grafana Enterprise Metrics y Metrics Enterprise (CVE-2021-31231)
Fecha de publicación:
30/04/2021
Idioma:
Español
Alertmanager en Grafana Enterprise Metrics versiones anteriores a 1.2.1 y Metrics Enterprise versión1.2.1, presenta una vulnerabilidad de divulgación de archivos locales cuando es usado experimental.alertmanager.enable-api. El archivo de contraseña de autenticación básica HTTP se puede usar como un vector de ataque para enviar cualquier contenido de archivo por medio de un webhook. Las plantillas de alertmanager pueden ser usado como vector de ataque para enviar cualquier contenido de archivo porque alertmanager puede cargar cualquier archivo de texto especificado en la lista de plantillas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en un webhook cuando es usado -experimental.alertmanager.enable-api en Alertmanager en CNCF Cortex (CVE-2021-31232)
Fecha de publicación:
30/04/2021
Idioma:
Español
Alertmanager en CNCF Cortex versiones anteriores a 1.8.1, presenta una vulnerabilidad de divulgación de archivos locales cuando es usado -experimental.alertmanager.enable-api. El archivo de contraseña de autenticación básica HTTP se puede usar como un vector de ataque para enviar cualquier contenido de archivo por medio de un webhook. Las plantillas de alertmanager pueden ser usados como vector de ataque para enviar cualquier contenido de archivo porque alertmanager puede cargar cualquier archivo de texto especificado en la lista de plantillas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en el envío de una petición RTSP en el archivo libamprotocol-rtsp.so.1 en la función parse_authentication_header() en el parámetro rtsp_svc en el servicio RTSP del servidor Ambarella Oryx RTSP (CVE-2020-24918)
Fecha de publicación:
30/04/2021
Idioma:
Español
Un desbordamiento del búfer en el servicio RTSP del servidor Ambarella Oryx RTSP versión 07-01-2020, permite a un atacante no autenticado enviar una petición RTSP diseñada, con un encabezado de autenticación de resumen largo, para ejecutar código arbitrario en la función parse_authentication_header() en el archivo libamprotocol-rtsp.so.1 en el parámetro rtsp_svc (o causar un bloqueo). Esto permite la toma de control remota de una Furbo Dog Camera, por ejemplo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

Vulnerabilidad en el Agent Service de Key Recovery Authority (KRA) en pki-core (CVE-2020-1721)
Fecha de publicación:
30/04/2021
Idioma:
Español
Se detectó un fallo en el Agent Service de Key Recovery Authority (KRA) en pki-core versión 10.10.5, donde no sanea apropiadamente el ID de recuperación durante una petición de recuperación de clave, permitiendo una vulnerabilidad de tipo cross-site scripting (XSS) reflejado. Un atacante podría engañar a una víctima autenticada para que ejecute un código Javascript especialmente diseñado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/05/2021

Vulnerabilidad en el archivo lib/header.c en la función hdrblobInit() en rpmdb en RPM (CVE-2021-20266)
Fecha de publicación:
30/04/2021
Idioma:
Español
Se detectó un fallo en RPM en la función hdrblobInit() en el archivo lib/header.c. Este fallo permite a un atacante que puede modificar el rpmdb causar una lectura fuera de límites. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en una carga de DLL en las bibliotecas zlib1.dll, libgcc_s_dw2-1.dll y libwinpthread-1.dll en GalaxyClient (CVE-2021-26807)
Fecha de publicación:
30/04/2021
Idioma:
Español
GalaxyClient versión 2.0.28.9, carga archivos DLL sin firmar como las bibliotecas zlib1.dll, libgcc_s_dw2-1.dll y libwinpthread-1.dll a partir de PATH, lo que permite a un atacante potencialmente ejecutar código de forma local por medio de una carga de DLL sin firmar.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2021

Vulnerabilidad en MongoDB Inc. MongoDB Server (CVE-2021-20326)
Fecha de publicación:
30/04/2021
Idioma:
Español
Un usuario autorizado para llevar a cabo un tipo específico de consulta de búsqueda puede desencadenar una denegación de servicio. Este problema afecta a: MongoDB Inc. MongoDB Server versiones v4.4 anteriores a la 4.4.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/09/2024
Suscribirse a Vulnerabilidades