Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en carpetas de código ejecutable en SCADAPack 7x Remote Connect (CVE-2020-7530)
Fecha de publicación:
16/09/2020
Idioma:
Español
Se presenta una vulnerabilidad de Autorización Inapropiada CWE-285 en SCADAPack 7x Remote Connect (versiones V3.6.3.574 y anteriores) que permite un acceso inapropiado a unas carpetas de código ejecutable
Gravedad CVSS v3.1: ALTA
Última modificación:
03/09/2022

Vulnerabilidad en el envío de peticiones en el encabezado Content-Length en el servidor de Keycloak (CVE-2020-10758)
Fecha de publicación:
16/09/2020
Idioma:
Español
Se encontró una vulnerabilidad en Keycloak versiones anteriores a 11.0.1, donde el ataque de DoS es posible mediante el envío de veinte peticiones simultáneamente hacia el servidor de keycloak especificado, todas con un valor de encabezado Content-Length que excede el conteo de bytes real del cuerpo de la petición
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2021

Vulnerabilidad en el atributo f_dir en el data source name (DSN) en el módulo DBI para Perl (CVE-2014-10402)
Fecha de publicación:
16/09/2020
Idioma:
Español
Se detectó un problema en el módulo DBI versiones hasta 1.643 para Perl. Los controladores DBD::File pueden abrir archivos de carpetas distintas de las que son pasadas específicamente por medio del atributo f_dir en el data source name (DSN). NOTA: este problema se presenta debido a una corrección incompleta en CVE-2014-10401
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2022

Vulnerabilidad en la función WildFlySecurityManager en Wildfly en Linux (CVE-2020-1748)
Fecha de publicación:
16/09/2020
Idioma:
Español
Se encontró un fallo en todas las versiones compatibles anteriores a wildfly-elytron-1.6.8.Final-redhat-00001, donde las comprobaciones de la función WildFlySecurityManager son omitidas cuando se usan administradores de seguridad personalizados, resultando en una autorización inapropiada. Este fallo conlleva a una exposición de una información mediante el acceso no autenticado hacia unos recursos seguros
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2022

CVE-2020-24891
Fecha de publicación:
16/09/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el análisis del nombre del campo en JBoss EAP (CVE-2020-1710)
Fecha de publicación:
16/09/2020
Idioma:
Español
El problema parece ser que JBoss EAP versión 6.4.21, no analiza el nombre de campo de acuerdo con RFC7230[1] ya que devuelve 200 en lugar de 400
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/09/2020

Vulnerabilidad en el archivo "lib/luks2/luks2_json_metadata.c" en la función hdr_validate_segments (struct crypt_device *cd, json_object *hdr_jobj) en el código de comprobación del formato LUKS2 (CVE-2020-14382)
Fecha de publicación:
16/09/2020
Idioma:
Español
Se encontró una vulnerabilidad en la versión previa cryptsetup-2.2.0 donde se presenta un error en el código de comprobación del formato LUKS2, que es invocado efectivamente en cada dispositivo e imagen que se presenta como contenedor de LUKS2. El bug está en el código de comprobación de segmentos en el archivo "lib/luks2/luks2_json_metadata.c" en la función hdr_validate_segments (struct crypt_device *cd, json_object *hdr_jobj) donde el código no comprueba un posible desbordamiento en la asignación de memoria usada para una matriz de intervalos (ver sentencia "intervals = malloc(first_backup * sizeof(*intervals));"). Debido al bug, la biblioteca puede ser *tricked* para esperar que dicha asignación haya sido realizada con éxito, pero para mucha menos memoria de la que se esperaba originalmente. Más tarde, puede leer datos DESDE una imagen creada por un atacante y escribir esos datos MÁS ALLÁ de la memoria asignada
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en ejecutables en el directorio donde se carga el instalador o el directorio de trabajo en el instalador de Windows para PostgreSQL (CVE-2020-10733)
Fecha de publicación:
16/09/2020
Idioma:
Español
El instalador de Windows para PostgreSQL versiones 9.5 - 12, invoca los ejecutables proporcionados por el sistema que no presentan rutas completamente calificadas. Los ejecutables en el directorio donde se carga el instalador o el directorio de trabajo actual presentan prioridad sobre los ejecutables previstos. Un atacante que tenga permiso para agregar archivos a uno de esos directorios puede usarlo para ejecutar código arbitrario con los derechos administrativos del instalador
Gravedad CVSS v3.1: ALTA
Última modificación:
06/01/2022

Vulnerabilidad en el archivo src/metadata/tiff.cpp en la función parse_tiff_ifd en libraw (CVE-2020-24890)
Fecha de publicación:
16/09/2020
Idioma:
Español
** EN DISPUTA ** libraw versión 20.0, presenta una vulnerabilidad de desreferencia del puntero null en la función parse_tiff_ifd en el archivo src/metadata/tiff.cpp, que puede resultar en una ejecución de código arbitraria dependiendo del contexto. Nota: esta vulnerabilidad sólo se produce si se compila el software de cierta manera
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2024

Vulnerabilidad en la comprobación de que una respuesta LoadURL está en formato XML en xmlquery (CVE-2020-25614)
Fecha de publicación:
16/09/2020
Idioma:
Español
xmlquery versiones anteriores a 1.3.1, carece de una comprobación para determinar si una respuesta LoadURL está en formato XML, permitiendo a atacantes causar una denegación de servicio (SIGSEGV) en xmlquery. (*Node).InnerText o posiblemente tener otro impacto no especificado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo src/metadata/normalize_model.cpp en la función LibRaw::GetNormalizedModel en LibRaw (CVE-2020-24889)
Fecha de publicación:
16/09/2020
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en LibRaw versiones anteriores a 20.0, la función LibRaw::GetNormalizedModel en el archivo src/metadata/normalize_model.cpp puede conllevar a una ejecución de código arbitraria dependiendo del contexto
Gravedad CVSS v3.1: ALTA
Última modificación:
06/12/2022

Vulnerabilidad en la regex para Redmi Phones y Mi Pad Tablets UA en el paquete ua-parser-js (CVE-2020-7733)
Fecha de publicación:
16/09/2020
Idioma:
Español
El paquete ua-parser-js versiones anteriores a 0.7.22, es vulnerable a una Denegación de Servicio de Expresión Regular (ReDoS) por medio de la regex para Redmi Phones y Mi Pad Tablets UA
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2022
Suscribirse a Vulnerabilidades