Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el convertidor de protocolo en Crimson (CVE-2020-27279)
Fecha de publicación:
06/01/2021
Idioma:
Español
Se ha identificado una vulnerabilidad de deferencia del puntero NULL en el convertidor de protocolo. Un atacante podría enviar un paquete especialmente diseñado que podría reiniciar el dispositivo que ejecuta Crimson versión 3.1 (versiones de Compilación anteriores a 3119.001)
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2021

Vulnerabilidad en el envío de un mensaje en Crimson (CVE-2020-27283)
Fecha de publicación:
06/01/2021
Idioma:
Español
Un atacante podría enviar un mensaje especialmente diseñado a Crimson versión 3.1 (versiones de Compilación anteriores a 3119.001) que podría filtrar ubicaciones de memoria arbitrarias
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2021

Vulnerabilidad en la ruta URL en el manejador openid en MendixSSO (CVE-2020-8160)
Fecha de publicación:
06/01/2021
Idioma:
Español
MendixSSO versiones anteriores a 2.1.1 incluyéndola, contiene endpoints que hacen uso del manejador openid, el cual sufre una vulnerabilidad de tipo Cross-Site Scripting por medio de la ruta URL. Esto es causado por el reflejo de los datos suministrados por el usuario sin la codificación de salida o escape HTML apropiado. Como resultado, una carga útil de JavaScript puede ser inyectada en el endpoint anterior, causando que sea ejecutada dentro del contexto del navegador de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2021

Vulnerabilidad en la integración de servicios en el plugin Ninja Forms para WordPress (CVE-2020-36174)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Ninja Forms versiones anteriores a 3.4.27.1 para WordPress, permite un ataque de tipo CSRF por medio de la integración de servicios
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2021

Vulnerabilidad en los menús desplegables Select2 en el plugin Advanced Custom Fields para WordPress (CVE-2020-36172)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Advanced Custom Fields versiones anteriores a 5.8.12 para WordPress, maneja inapropiadamente el escape de cadenas en los menús desplegables Select2, lo que potencialmente conlleva a un ataque de tipo XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2021

Vulnerabilidad en las cargas SVG en el plugin Elementor Website Builder para WordPress (CVE-2020-36171)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Elementor Website Builder versiones anteriores a 3.0.14 para WordPress, no restringe apropiadamente las cargas SVG
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2021

Vulnerabilidad en los campos submissions-table en el plugin Ninja Forms para WordPress (CVE-2020-36173)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Ninja Forms versiones anteriores a 3.4.28 para WordPress, carece de escape para los campos submissions-table
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el campo email en el plugin Ninja Forms para WordPress (CVE-2020-36175)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin Ninja Forms versiones anteriores a 3.4.27.1 para WordPress, permite a atacantes omitir la comprobación por medio del campo email
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el plugin iThemes Security para WordPress (CVE-2020-36176)
Fecha de publicación:
06/01/2021
Idioma:
Español
El plugin iThemes Security (anteriormente Better WP Security) versiones anteriores a 7.7.0 para WordPress, no aplica el requisito de una nueva contraseña para una cuenta existente hasta que el segundo inicio de sesión ocurre
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la base de datos en Crimson (CVE-2020-27285)
Fecha de publicación:
06/01/2021
Idioma:
Español
La configuración predeterminada de Crimson versión 3.1 (versiones de compilación anteriores a 3119.001), permite a un usuario ser capaz de leer y modificar la base de datos sin autenticación
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2021

Vulnerabilidad en la funcionalidad de análisis de documentos de TextMaker de la aplicación TextMaker de SoftMaker Office 2021 (CVE-2020-13544)
Fecha de publicación:
06/01/2021
Idioma:
Español
Una vulnerabilidad de extensión de firma explotable en la funcionalidad de análisis de documentos de TextMaker de la aplicación TextMaker de SoftMaker Office 2021. Un documento especialmente diseñado puede hacer que el analizador de documentos firme y extienda una longitud usada para terminar un bucle, lo que luego puede resultar en que el índice del bucle sea usado para escribir fuera de los límites de un búfer de pila durante la lectura de datos de archivo. Un atacante puede atraer a la víctima a que abra un documento para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en la funcionalidad de análisis de documentos de TextMaker de la aplicación TextMaker de SoftMaker Office 2021 (CVE-2020-13545)
Fecha de publicación:
06/01/2021
Idioma:
Español
Una vulnerabilidad de conversión firmada explotable en la funcionalidad de análisis de documentos de TextMaker de la aplicación TextMaker de SoftMaker Office 2021. Un documento especialmente diseñado puede hacer que el analizador de documentos calcule inapropiadamente una longitud usada para asignar un búfer; más adelante, tras usar este búfer, la aplicación escribirá fuera de sus límites, resultando en una corrupción de la memoria de la región heap. Un atacante puede atraer a la víctima para que abra un documento para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022
Suscribirse a Vulnerabilidades