Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el Portal de Usuario de Sophos XG Firewall (CVE-2020-17352)
Fecha de publicación:
07/08/2020
Idioma:
Español
Dos vulnerabilidades de inyección de comandos de Sistema Operativo en el portal de Usuario de Sophos XG Firewall hasta el 05-08-2020, permiten potencialmente a un atacante autenticado ejecutar código arbitrario remotamente
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2020

Vulnerabilidad en la vista previa simplificada del plugin Previewers en Safari e Internet Explorer en Prism (CVE-2020-15138)
Fecha de publicación:
07/08/2020
Idioma:
Español
Prism es vulnerable a un ataque de tipo Cross-Site Scripting. La vista previa simplificada del plugin Previewers presenta una vulnerabilidad de tipo XSS que permite a atacantes ejecutar código arbitrario en Safari e Internet Explorer. Esto afecta a todos los usuarios de Safari e Internet Explorer de Prism versiones posteriores a v1.1.0 e incluyéndola, que utilizan el plugin _Previewers_ (versiones posteriores a v1.10.0 e incluyéndola) o el plugin _Previewer: Easing_ (versiones v1.1.0 hasta v1.9.0). Este problema es corregido en la versión 1.21.0. Para solucionar el problema sin actualizar, desactive la vista previa simplificada en todos los bloques de código afectados. Necesita Prism versión v1.10.0 o más reciente para aplicar esta solución
Gravedad CVSS v3.1: ALTA
Última modificación:
28/08/2020

Vulnerabilidad en una petición HTTP/2 en "H2Push off" en Apache HTTP Server (CVE-2020-9490)
Fecha de publicación:
07/08/2020
Idioma:
Español
Apache HTTP Server versiones 2.4.20 hasta 2.4.43.. Un valor especialmente diseñado para el encabezado "Cache-Digest" en una petición HTTP/2 resultaría en un bloqueo cuando el servidor realmente intenta un PUSH HTTP/2 un recurso mas tarde. Una configuración de la funcionalidad HTTP/2 por medio de "H2Push off" mitigará esta vulnerabilidad para los servidores no parcheados
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la página de administración de claves DKIM en el dispositivo SMG en Micro Focus Secure Messaging Gateway (SMG) (CVE-2020-11852)
Fecha de publicación:
07/08/2020
Idioma:
Español
Vulnerabilidad de la página de administración de claves DKIM en Micro Focus Secure Messaging Gateway (SMG). Afectando a todas las versiones en ejecución del dispositivo SMG versiones anteriores a julio de 2020. La vulnerabilidad podría permitir a un usuario que haya iniciado sesión con derechos para generar información de la clave DKIM inyectar comandos del sistema en la llamada al comando del sistema DKIM
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el ActiveX Control hslogin2.dll en Groupware en Groupware (CVE-2020-7810)
Fecha de publicación:
07/08/2020
Idioma:
Español
El ActiveX Control hslogin2.dll en Groupware, contiene una vulnerabilidad que podría permitir que archivos remotos sean descargados y ejecutados al configurar los argumentos en el método activex. Esto es debido a una falta de comprobación de la integridad de los archivos de políticas a los que se hace referencia en el proceso de actualización, y un atacante remoto podría inducir a un usuario a diseñar una página web, causando daños como una infección de código malicioso
Gravedad CVSS v3.1: ALTA
Última modificación:
10/08/2020

Vulnerabilidad en la función mod_proxy_uwsgi en Apache HTTP server (CVE-2020-11984)
Fecha de publicación:
07/08/2020
Idioma:
Español
Apache HTTP server versiones 2.4.32 hasta 2.4.44, la función mod_proxy_uwsgi divulga información y posible RCE
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el uso de un proxy mediante mod_remoteip y mod_rewrite en Apache HTTP Server (CVE-2020-11985)
Fecha de publicación:
07/08/2020
Idioma:
Español
Una falsificación de direcciones IP cuando se está usando un proxy por medio de mod_remoteip y mod_rewrite para las configuraciones que usan el proxy con mod_remoteip y determinadas reglas de mod_rewrite, un atacante podría falsificar su dirección IP para el registro y los scripts PHP. Note que este problema se corrigió en Apache HTTP Server versión 2.4.24, pero se le asignó retrospectivamente un CVE de poca gravedad en 2020
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en trace/debug habilitado para el módulo HTTP/2 en Apache HTTP Server (CVE-2020-11993)
Fecha de publicación:
07/08/2020
Idioma:
Español
Apache HTTP Server versiones 2.4.20 hasta 2.4.43, cuando trace/debug fue habilitado para el módulo HTTP/2 y en determinados patrones de tráfico de borde, se hicieron declaraciones de registro en la conexión errónea, causando un uso concurrente de grupos de memoria. Configurando el LogLevel de mod_http2 sobre "info" mitigará esta vulnerabilidad para los servidores sin parches
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

CVE-2020-16636
Fecha de publicación:
07/08/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en comprobación de la fuente de datos o comunicación en Temi firmware (CVE-2020-16168)
Fecha de publicación:
07/08/2020
Idioma:
Español
El error de validación de origen en temi Robox OS antes de 120, temi aplicación Android hasta la versión 1.3.7931 permite a los atacantes remotos acceder a la API REST y al broker MQTT utilizado por los temi y enviarle datos/solicitudes personalizados a través de vectores no especificados
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/05/2023

Vulnerabilidad en el paquete permissions de SUSE Linux Enterprise Server, SUSE Linux Enterprise Server para SAP 15; openSUSE Leap y openSUSE Tumbleweed (CVE-2020-8025)
Fecha de publicación:
07/08/2020
Idioma:
Español
Una vulnerabilidad de Permisos de Ejecución Asignados Incorrectos en el paquete permissions de SUSE Linux Enterprise Server versión 12-SP4, SUSE Linux Enterprise Server versión 15-LTSS, SUSE Linux Enterprise Server para SAP 15; openSUSE Leap versión 15.1, openSUSE Tumbleweed, establece los permisos para algunos de los directorios del paquete pcp en configuraciones no deseadas. Este problema afecta: permissions versiones anteriores a 20170707-3.24.1 de SUSE Linux Enterprise Server 12-SP4. permissions versiones anteriores a 20180125-3.27.1 de SUSE Linux Enterprise Server versión 15-LTSS. permissions versiones anteriores a 20180125-3.27.1 de SUSE Linux Enterprise Server para SAP 15. permissions versiones anteriores a 20181116-lp151.4.24.1 de openSUSE Leap versión 15.1. permissions versiones anteriores a 20200624 de openSUSE Tumbleweed
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/08/2020

Vulnerabilidad en el paquete inn en openSUSE Leap y openSUSE Tumbleweed (CVE-2020-8026)
Fecha de publicación:
07/08/2020
Idioma:
Español
Una vulnerabilidad de Permisos Predeterminados Incorrectos en el paquete de inn en openSUSE Leap versión 15.2, openSUSE Tumbleweed, openSUSE Leap versión 15.1, permite a atacantes locales con control del nuevo usuario escalar sus privilegios a root. Este problema afecta a: inn versión 2.6.2-lp152.1.26 y versiones anteriores de openSUSE Leap versión 15.2. inn versión 2.6.2-4.2 y versiones anteriores de openSUSE Tumbleweed. inn versión 2.5.4-lp151.3.3.1 y versiones anteriores de openSUSE Leap versión 15.1
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2023
Suscribirse a Vulnerabilidades