Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los campos name="timestamp" en el plugin Ultimate Member para WordPress (CVE-2020-36170)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Ultimate Member versiones anteriores a 2.1.13 para WordPress, maneja inapropiadamente los campos name="timestamp" ocultos en los formularios
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2021

Vulnerabilidad en la API WriteImage del Proofpoint Insider Threat Management Server (CVE-2020-10658)
Fecha de publicación:
06/01/2021
Idioma:
Español
Proofpoint Insider Threat Management Server (anteriormente ObserveIT Server) versiones anteriores a 7.9.1, contiene una vulnerabilidad en la API WriteImage del servidor de aplicaciones ITM. La vulnerabilidad permite que un atacante remoto anónimo ejecutar código arbitrario con privilegios de administrador local. La vulnerabilidad es debido a una deserialización inapropiada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en la función ImportAlertRules de la consola web del Proofpoint Insider Threat Management Server (CVE-2020-10657)
Fecha de publicación:
06/01/2021
Idioma:
Español
El Proofpoint Insider Threat Management Server (anteriormente ObserveIT Server) versiones anteriores a 7.9.1, contiene una vulnerabilidad en la función ImportAlertRules de la consola web de ITM. La vulnerabilidad permite a un atacante remoto (con privilegios de administrador o de administrador de configuración en la consola) ejecutar código arbitrario con privilegios de administrador local. La vulnerabilidad es debido a una deserialización inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2021

Vulnerabilidad en la API WriteWindowMouseWithChunksV2 del servidor de aplicaciones de Proofpoint Insider Threat Management Server (CVE-2020-10656)
Fecha de publicación:
06/01/2021
Idioma:
Español
Proofpoint Insider Threat Management Server (anteriormente ObserveIT Server) versiones anteriores a 7.9.1, contiene una vulnerabilidad en la API WriteWindowMouseWithChunksV2 del servidor de aplicaciones de ITM. La vulnerabilidad permite que un atacante remoto anónimo ejecutar código arbitrario con privilegios de administrador local. La vulnerabilidad es debido a una deserialización inapropiada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en la API WriteWindowMouse del servidor de aplicaciones de Proofpoint Insider Threat Management Server (CVE-2020-10655)
Fecha de publicación:
06/01/2021
Idioma:
Español
Proofpoint Insider Threat Management Server (anteriormente ObserveIT Server) versiones anteriores a 7.9.1, contiene una vulnerabilidad en la API WriteWindowMouse del servidor de aplicaciones de ITM. La vulnerabilidad permite que un atacante remoto anónimo ejecutar código arbitrario con privilegios de administrador local. La vulnerabilidad es debido a una deserialización inapropiada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en rcdsvc en el Proofpoint Insider Threat Management Windows Agent (CVE-2020-8884)
Fecha de publicación:
06/01/2021
Idioma:
Español
rcdsvc en el Proofpoint Insider Threat Management Windows Agent (anteriormente ObserveIT Windows Agent) versiones anteriores a 7.9, permite a los usuarios autenticados remotamente ejecutar código arbitrario como SYSTEM debido a una deserialización inapropiada sobre tuberías nombradas
Gravedad CVSS v3.1: ALTA
Última modificación:
13/01/2021

Vulnerabilidad en parámetros de URL en IBM WebSphere eXtreme Scale (CVE-2020-4336)
Fecha de publicación:
06/01/2021
Idioma:
Español
IBM WebSphere eXtreme Scale versión 8.6.1, almacena información confidencial en parámetros de URL. Esto puede conllevar a una divulgación de información si partes no autorizadas tienen acceso a las URL por medio de registros del servidor, encabezado de referencia o historial del navegador. ID de IBM X-Force: 177932
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2021

Vulnerabilidad en una respuesta de servidor en clickhouse-driver (CVE-2020-26759)
Fecha de publicación:
06/01/2021
Idioma:
Español
clickhouse-driver versiones anteriores a 0.1.5, permite a un servidor clickhouse malicioso desencadenar un bloqueo o ejecutar código arbitrario (en un cliente de base de datos) por medio de una respuesta de servidor diseñada, debido a un desbordamiento del búfer
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en la función reader::read_from_container en el análisis de archivos PNG en kamadak-exif en Rust (CVE-2021-21235)
Fecha de publicación:
06/01/2021
Idioma:
Español
kamadak-exif es una biblioteca de análisis exif escrita en Rust puro. En kamadak-exif versión 0.5.2, Se presenta un bucle infinito en el análisis de archivos PNG diseñados. Específicamente, la función reader::read_from_container puede causar un bucle infinito cuando se le proporciona un archivo PNG diseñado. Esto es corregido en la versión 0.5.3. Ninguna solución alternativa está disponible. Las aplicaciones que no aprueban archivos con la firma PNG a la función Reader::read_from_container no están afectadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2022

Vulnerabilidad en OpenSSL en el archivo de configuración openssl.cnf en el addon Managed Host en sistemas Windows en Veritas Resiliency Platform (CVE-2020-36168)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en Veritas Resiliency Platform versiones 3.4 y 3.5. Aprovecha OpenSSL en sistemas Windows cuando usa el addon Managed Host. Al iniciarse, carga la biblioteca OpenSSL. Esta biblioteca puede intentar cargar el archivo de configuración openssl.cnf, que no estar presente. Por defecto, en los sistemas Windows, los usuarios pueden crear directorios en C:\. Un usuario poco privilegiado puede crear un archivo de configuración C:\usr\local\ssl\openssl.cnf para cargar un motor OpenSSL malicioso, resultando en una ejecución de código arbitraria como SYSTEM cuando se inicia el servicio. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos, acceder a todas las aplicaciones instaladas, etc
Gravedad CVSS v3.1: ALTA
Última modificación:
11/01/2021

Vulnerabilidad en los procesos que usan OpenSSL en el sistema operativo Windows en Veritas NetBackup y OpsCenter (CVE-2020-36169)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en Veritas NetBackup versiones hasta 8.3.0.1 y OpsCenter versiones hasta 8.3.0.1. Los procesos que usan OpenSSL intentan cargar y ejecutar bibliotecas desde rutas que no existen por defecto en el sistema operativo Windows. Por defecto, en sistemas Windows, los usuarios pueden crear directorios sobre el nivel superior de cualquier unidad. Si un usuario poco privilegiado crea una ruta afectada con una biblioteca que el producto de Veritas intenta cargar, puede ejecutar código arbitrario como SYSTEM o Administrator. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos, acceder a todas las aplicaciones instaladas, etc. Esta vulnerabilidad afecta a los servidores maestros, servidores multimedia, clientes y servidores OpsCenter en la plataforma Windows. El sistema es vulnerable durante una instalación o actualización y después de la instalación durante las operaciones normales
Gravedad CVSS v3.1: ALTA
Última modificación:
11/01/2021

Vulnerabilidad en la biblioteca OpenSSL en el archivo de configuración /ReleaseX64/ssl/openssl.cnf en los sistemas Windows en Veritas Desktop and Laptop Option (DLO) (CVE-2020-36165)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se detectó un problema en Veritas Desktop and Laptop Option (DLO) versiones anteriores a 9.4. Al iniciarse, carga la biblioteca OpenSSL desde /ReleaseX64/ssl. Esta biblioteca intenta cargar el archivo de configuración /ReleaseX64/ssl/openssl.cnf, que no existe. Por defecto, en los sistemas Windows, los usuarios pueden crear directorios en C:\. Un usuario poco privilegiado puede crear un archivo de configuración C:/ReleaseX64/ssl/openssl.cnf para cargar un motor OpenSSL malicioso, resultando en una ejecución de código arbitraria como SYSTEM cuando se inicia el servicio. Esto le otorga al atacante acceso de administrador al sistema, permitiendo al atacante (por defecto) acceder a todos los datos, acceder a todas las aplicaciones instaladas, etc. Esto afecta las instalaciones de cliente y de servidor de DLO
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2021
Suscribirse a Vulnerabilidades