Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la creación de una URL especial en Apache Wicket (CVE-2020-11976)
Fecha de publicación:
11/08/2020
Idioma:
Español
Al crear una URL especial, es posible hacer que Wicket entregue plantillas HTML no procesadas. Esto permitiría a un atacante visualizar información posiblemente confidencial dentro de una plantilla HTML que es comúnmente eliminada durante la renderización. Están afectadas las versiones 7.16.0, 8.8.0 y 9.0.0-M5 de Apache Wicket
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el valor de autenticación de una clave creada con CreateWrapKey en un valor de "migrationAuth" inicializado en la biblioteca go-tpm TPM1.2 de Google (CVE-2020-8918)
Fecha de publicación:
11/08/2020
Idioma:
Español
Un valor de "migrationAuth" inicializado inapropiadamente en la biblioteca go-tpm TPM1.2 de Google versiones anteriores a 0.3.0, puede conllevar a un atacante que espía a detectar el valor de autenticación de una clave creada con CreateWrapKey. Un atacante que escucha en el canal puede recopilar "encUsageAuth" y "encMigrationAuth", y luego puede calcular "useAuth ^ encMigrationAuth" ya que se puede adivinar "migrationAuth" para todas las claves creadas con CreateWrapKey. TPM2.0 no está afectado por esto. Recomendamos actualizar su biblioteca a la versión 0.3.0 o posterior o, si no puede actualizar, llamar a CreateWrapKey con un valor aleatorio de 20 bytes para "migrationAuth"
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2020

Vulnerabilidad en almacenamiento de las contraseñas en PACTware (CVE-2020-9404)
Fecha de publicación:
11/08/2020
Idioma:
Español
En PACTware versiones anteriores a 4.1 SP6 y versiones 5.x anteriores a 5.0.5.31, las contraseñas son almacenadas de manera no segura y pueden ser modificadas por parte de un atacante sin conocimiento de las contraseñas actuales
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2020

Vulnerabilidad en almacenamiento de las contraseñas en la estación de trabajo de PACTware (CVE-2020-9403)
Fecha de publicación:
11/08/2020
Idioma:
Español
En PACTware versiones anteriores a 4.1 SP6 y versiones 5.x anteriores a 5.0.5.31, las contraseñas son almacenadas en un formato recuperable y pueden ser recuperadas por cualquier usuario con acceso a la estación de trabajo de PACTware
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/08/2020

Vulnerabilidad en el procedimiento inicio de sesión único en los mensajes de Broker Protocol en Teradici PCoIP Standard Agent para Windows y Graphics Agent para Windows (CVE-2020-13179)
Fecha de publicación:
11/08/2020
Idioma:
Español
Los mensajes de Broker Protocol en Teradici PCoIP Standard Agent para Windows y Graphics Agent para Windows versiones anteriores a la 20.04.1, no son limpiados en la memoria del servidor, lo que puede permitir a un atacante leer información confidencial de un volcado de memoria forzando un bloqueo durante el procedimiento inicio de sesión único
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2021

Vulnerabilidad en la firma de un determinado archivo cifrado en diversos dispositivos de HUAWEI (CVE-2020-9244)
Fecha de publicación:
11/08/2020
Idioma:
Español
Versiones de HUAWEI Mate 20 Versiones anteriores a 10.1.0.160(C00E160R3P8); versiones de HUAWEI Mate 20 Pro Versiones anteriores a 10.1.0.270(C431E7R1P5), Versiones anteriores a 10.1.0.270(C635E3R1P5), Versiones anteriores a 10.1.0.273(C636E7R2WE); versiones de Mate 20 X Versiones anteriores a 10.1.0.160(C00E160R2P8); versiones de HUAWEI P30 Versiones anteriores a 10.1.0.160(C00E160R2P11); versiones de HUAWEI P30 Pro Versiones anteriores a 10.1.0.160(C00E160R2P8); versiones de HUAWEI Mate 20 RS Versiones anteriores a 10.1 .0.160(C786E160R3P8); versiones de HonorMagic2 Versiones anteriores a 10.0.0.187(C00E61R2P11); versiones de Honor20 Versiones anteriores a 10.0.0.175(C00E58R4P11); versiones de Honor20 PRO Versiones anteriores a 10.0.0.194(C00E62R8P12); versiones de HonorMagic2 10.0.0.187(C00E61R2P11); versiones de HonorV20 Versiones anteriores a 10.0.0.188(C00E62R2P11), presentan una vulnerabilidad de autenticación inapropiada. El sistema no firma adecuadamente determinado archivo cifrado, el atacante debe conseguir la clave usada para cifrar el archivo, una explotación con éxito podría causar que cierto archivo sea falsificado
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en fields['name'] en appendSubheading en el archivo content/content.blueprintsevents.php en Symphony CMS (CVE-2020-15071)
Fecha de publicación:
11/08/2020
Idioma:
Español
El archivo content/content.blueprintsevents.php en Symphony CMS versión 3.0.0, permite un ataque de tipo XSS por medio de fields['name'] en appendSubheading
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/08/2020

Vulnerabilidad en la interfaz de administración de Teradici Cloud Access Connector y Cloud Access Connector Legacy (CVE-2020-13175)
Fecha de publicación:
11/08/2020
Idioma:
Español
La interfaz de administración de Teradici Cloud Access Connector y Cloud Access Connector Legacy para versiones anteriores al 20 de abril de 2020 (versión v15 y anteriores para Cloud Access Connector), contiene una vulnerabilidad de inclusión de archivos locales que permite a un atacante remoto no autenticado filtrar credenciales de LDAP por medio de un petición HTTP diseñada
Gravedad CVSS v3.1: ALTA
Última modificación:
14/08/2020

Vulnerabilidad en la página de inicio de sesión en la interfaz de administración de Teradici Cloud Access Connector y Cloud Access Connector Legacy (CVE-2020-13176)
Fecha de publicación:
11/08/2020
Idioma:
Español
La interfaz de administración de Teradici Cloud Access Connector y Cloud Access Connector Legacy para versiones anteriores al 24 de abril de 2020 (versión v16 y anteriores para Cloud Access Connector), contiene una vulnerabilidad de tipo cross-site scripting (XSS) almacenado que permite a un atacante remoto no autenticado envenenar archivos de registro con JavaScript malicioso por medio de la página de inicio de sesión que es ejecutada cuando un administrador visualiza los registros dentro de la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/08/2020

Vulnerabilidad en el paquete de soporte en Teradici PCoIP Standard Agent para Windows y Graphics Agent para Windows (CVE-2020-13177)
Fecha de publicación:
11/08/2020
Idioma:
Español
El paquete de soporte en Teradici PCoIP Standard Agent para Windows y Graphics Agent para Windows versiones anteriores a 20.04.1 y 20.07.0, no usa rutas embebidas para determinados binarios de Windows, lo que permite a un atacante alcanzar privilegios elevados mediante una ejecución de un binario malicioso colocado en la ruta del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
13/08/2020

Vulnerabilidad en comprobación de la firma de un binario externo en una función en el Teradici PCoIP Standard Agent para Windows y el Graphics Agent para Windows (CVE-2020-13178)
Fecha de publicación:
11/08/2020
Idioma:
Español
Una función en el Teradici PCoIP Standard Agent para Windows y el Graphics Agent para Windows anterior a la versión 20.04.1, no comprueba correctamente la firma de un binario externo, lo que podría permitir a un atacante alcanzar privilegios elevados mediante una ejecución en el contexto del proceso de PCoIP Agent
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/08/2020

Vulnerabilidad en el encabezado HTTP X-Frame-Options en el servidor web en la consola de Teradici Managament (CVE-2020-13174)
Fecha de publicación:
11/08/2020
Idioma:
Español
El servidor web en la consola de Teradici Managament versiones 20.04 y 20.01.1, no configuró apropiadamente el encabezado HTTP X-Frame-Options, lo que podría permitir a un atacante engañar a un usuario para que haga clic en un enlace malicioso mediante un secuestro de clic
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/09/2022
Suscribirse a Vulnerabilidades