Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una inyección de comandos de Sistema Operativo ciega autenticada (CVE-2020-12513)
Fecha de publicación:
22/01/2021
Idioma:
Español
Pepperl + Fuchs Comtrol IO-Link Master en la versión 1.5.48 y anteriores, es propenso a una inyección de comandos de Sistema Operativo ciega autenticada
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2021

Vulnerabilidad en la deserialización de datos no confiables en el componente fdtCONTAINER de M&M Software (CVE-2020-12525)
Fecha de publicación:
22/01/2021
Idioma:
Español
El componente fdtCONTAINER de M&M Software en versiones por debajo de 3.5.20304.x y entre 3.6 y 3.6.20304.x, es vulnerable a una deserialización de datos que no son de confianza en el almacenamiento de su proyecto
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2022

Vulnerabilidad en la interfaz web en Pepperl + Fuchs Comtrol IO-Link Master (CVE-2020-12511)
Fecha de publicación:
22/01/2021
Idioma:
Español
Pepperl + Fuchs Comtrol IO-Link Master en la versión 1.5.48 y anteriores, es propenso a una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en la interfaz web
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2021

Vulnerabilidad en el archivo app/items_view.php en la cuenta de administrador en el sistema OIS (CVE-2021-21260)
Fecha de publicación:
22/01/2021
Idioma:
Español
El Sistema de Facturación en Línea (OIS) es un software de código abierto que es un sistema de facturación ajustado para pequeñas empresas, consultores y autónomos creado con AppGini. En OIS versión 4.0 se presenta una vulnerabilidad de tipo XSS almacenado que puede permitir que un atacante tome el control de la cuenta de administrador por medio de una carga útil que extrae un token csrf y envía una petición para cambiar la contraseña. Se ha detectado que la descripción del artículo se refleja sin saneamiento en el archivo app/items_view.php, lo que habilita el escenario malicioso
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2021

Vulnerabilidad en una clave de la API del cliente en el inicio de sesión en texto plano de OctopusDSC (CVE-2021-21270)
Fecha de publicación:
22/01/2021
Idioma:
Español
OctopusDSC es un módulo de PowerShell con recursos de DSC, que se puede utilizar para instalar y configurar un agente de Octopus Deploy Server and Tentacle. En OctopusDSC versión 4.0.977 y anteriores, una clave de la API del cliente usada para conectarse a Octopus Server es expuesta mediante el inicio de sesión en texto plano. Esta vulnerabilidad está parcheada en la versión 4.0.1002
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2021

Vulnerabilidad en un elemento Timeline en el paquete vis-timeline (CVE-2020-28487)
Fecha de publicación:
22/01/2021
Idioma:
Español
Esto afecta al paquete vis-timeline versiones anteriores a 7.4.4. Un atacante con la capacidad de controlar los elementos de un elemento Timeline puede inyectar código de script adicional en la aplicación generada
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/02/2021

Vulnerabilidad en el envío de peticiones de datos MQ en IBM MQ Internet Pass-Thru (CVE-2020-4766)
Fecha de publicación:
22/01/2021
Idioma:
Español
IBM MQ Internet Pass-Thru versiones 2.1 y 9.2, podrían permitir a un usuario remoto causar una denegación de servicio mediante el envío de peticiones de datos MQ malformadas que consumirían todos los recursos disponibles. IBM X-Force ID: 188093
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2021

Vulnerabilidad en una nota de HedgeDoc visualizada en modo de diapositiva en HedgeDoc (CVE-2021-21259)
Fecha de publicación:
22/01/2021
Idioma:
Español
HedgeDoc es un software de código abierto que permite crear notas markdown colaborativas en tiempo real. En HedgeDoc antes de la versión 1.7.2, un atacante puede inyectar JavaScript arbitrario en una nota de HedgeDoc, que se ejecuta cuando la nota se ve en modo de diapositivas. Dependiendo de la configuración de la instancia, el atacante puede no necesitar autenticación para crear o editar notas. El problema está parcheado en HedgeDoc versión 1.7.2. Como solución, deshabilite la carga de JavaScript desde sitios de terceros utilizando la cabecera `Content-Security-Policy`. Tenga en cuenta que esto romperá algunos contenidos incrustados
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2021

CVE-2020-28488
Fecha de publicación:
22/01/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el filtrado de caracteres especiales en la función de edición del backend de Hyweb HyCMS-J1 (CVE-2021-22849)
Fecha de publicación:
22/01/2021
Idioma:
Español
La función de edición del backend de Hyweb HyCMS-J1 no filtra los caracteres especiales. Los usuarios después de iniciar sesión pueden inyectar una sintaxis JavaScript para llevar a cabo un ataque de tipo XSS almacenado (Cross-site Scripting Almacenado)
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2021

Vulnerabilidad en los parámetros de la petición POST en la API de Hyweb HyCMS-J1 (CVE-2021-22847)
Fecha de publicación:
22/01/2021
Idioma:
Español
La API de Hyweb HyCMS-J1 no filtra los parámetros de la petición POST. Los atacantes remotos pueden inyectar sintaxis SQL y ejecutar comandos sin privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2021

Vulnerabilidad en la biblioteca var/lib/kubelet/podsun en un recurso SecretProviderClassPodStatus/Status en Kubernetes Secrets Store CSI Driver (CVE-2020-8568)
Fecha de publicación:
21/01/2021
Idioma:
Español
Kubernetes Secrets Store CSI Driver versiones v0.0.15 y v0.0.16, permiten a un atacante que pueda modificar un recurso SecretProviderClassPodStatus/Status la capacidad de escribir contenido en el sistema de archivos del host y sincronizar el contenido del archivo con Kubernetes Secrets. Esto incluye rutas en la biblioteca var/lib/kubelet/pods que contienen otros secretos de Kubernetes
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2021
Suscribirse a Vulnerabilidades