Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Microsoft Windows Codecs Library (CVE-2020-1425)
Fecha de publicación:
27/07/2020
Idioma:
Español
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que Microsoft Windows Codecs Library maneja los objetos en la memoria, también se conoce como "Microsoft Windows Codecs Library Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2020-1457
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en almacenamiento de credenciales en Grundfos CIM 500 (CVE-2020-10609)
Fecha de publicación:
27/07/2020
Idioma:
Español
Grundfos CIM 500 versión v06.16.00, almacena credenciales de texto plano, que pueden permitir una lectura de información confidencial o la modificación de la configuración del sistema por alguien con acceso al dispositivo
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2020

Vulnerabilidad en una URL en Timelion en Kibana (CVE-2020-7016)
Fecha de publicación:
27/07/2020
Idioma:
Español
En Kibana versiones anteriores a 6.8.11 y 7.8.1, contiene un fallo de denegación de servicio (DoS) en Timelion. Un atacante puede construir una URL que, cuando es visualizada por un usuario de Kibana, puede conllevar al proceso de Kibana a consumir grandes cantidades de CPU y dejar de responder
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2022

Vulnerabilidad en la visualización del mapa de región en Kibana (CVE-2020-7017)
Fecha de publicación:
27/07/2020
Idioma:
Español
En Kibana versiones anteriores a 6.8.11 y 7.8.1, la visualización del mapa de región contiene un fallo de tipo XSS almacenado. Un atacante que es capaz de editar o crear una visualización de mapa de región podría obtener información confidencial o llevar a cabo acciones destructivas en nombre de los usuarios de Kibana que ven la visualización del mapa de región
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/10/2022

CVE-2020-15120
Fecha de publicación:
27/07/2020
Idioma:
Español
En "I hate money" antes de la versión 4.1.5, un miembro autenticado de un proyecto puede modificar y eliminar miembros de otro proyecto, sin conocer el código privado de este otro proyecto. Esto puede ser explotado aún más para acceder a todas las facturas de otro proyecto sin conocer el código privado de este otro proyecto. Con la configuración predeterminada, es permitido a cualquiera crear un nuevo proyecto. Un atacante puede crear un nuevo proyecto y luego usarlo para autenticarse y explotar este fallo. Como tal, la exposición es similar a un ataque no autenticado, porque es muy sencillo autenticarse. Esto está corregido en la versión 4.1.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/07/2020

Vulnerabilidad en el canal rdpegfx en los rectángulos de entrada del servidor en FreeRDP (CVE-2020-15103)
Fecha de publicación:
27/07/2020
Idioma:
Español
En FreeRDP versiones anteriores o igual a 2.1.2, se presenta un desbordamiento de enteros debido a una falta de saneamiento de entrada en el canal rdpegfx. Todos los clientes de FreeRDP están afectados. Los rectángulos de entrada del servidor no son comprobados contra las coordenadas de la superficie local y se aceptan ciegamente. Un servidor malicioso puede enviar datos que bloquearán al cliente más adelante (argumentos de longitud no válidos a un "memcpy"). Esto ha sido corregido en la versión 2.2.0. Como solución alternativa, deje de usar argumentos de línea de comandos /gfx, /gfx-h264 y /network:auto
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en la aplicación Watson para IBM QRadar SIEM en IBM QRadar Advisor (CVE-2020-4408)
Fecha de publicación:
27/07/2020
Idioma:
Español
IBM QRadar Advisor versiones 1.1 hasta 2.5.2, con la aplicación Watson para IBM QRadar SIEM no enmascara adecuadamente todas las contraseñas durante la entrada, que podrían ser obtenidas por un atacante físico cercano. IBM X-Force ID: 179536
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/07/2020

Vulnerabilidad en los archivos de registro en IBM Verify Gateway (IVG) (CVE-2020-4405)
Fecha de publicación:
27/07/2020
Idioma:
Español
IBM Verify Gateway (IVG) versiones 1.0.0 y 1.0.1, podría divulgar información potencialmente confidencial a un usuario autenticado debido a los archivos de registro de tipo world readable. IBM X-Force ID: 179484
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/07/2020

Vulnerabilidad en un archivo en IPC (Inter-Process Communication) en SteelCentral Aternity Agent en Windows (CVE-2020-15592)
Fecha de publicación:
27/07/2020
Idioma:
Español
SteelCentral Aternity Agent versiones anteriores a 0.0.120 en Windows permite una escalada de privilegios por medio de un archivo diseñado. Usa un ejecutable que se ejecuta como un servicio de Windows muy privilegiado para llevar a cabo tareas administrativas y recopilar datos de otros procesos. Distribuye la funcionalidad entre diferentes procesos y utiliza primitivas IPC (Inter-Process Communication) para permitir a los procesos cooperar. Los métodos que se pueden llamar remotamente desde objetos remotos disponibles por medio de la comunicación entre procesos permiten cargar plugins arbitrarios (es decir, ensamblajes de C#) desde el directorio "% PROGRAMFILES (X86)%/Aternity Information Systems/Assistant/plugins", donde el nombre del plugin es pasado como parte de un objeto serializado en XML. Sin embargo, debido a que el nombre de la DLL está concatenado con la cadena ".\plugins", Se presenta una vulnerabilidad de salto directorio en la manera en que los plugins son resueltos
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2020

Vulnerabilidad en el acceso al IPC (Inter-Process Communication) AternityAgentAssistantIpc en SteelCentral Aternity Agent en Windows (CVE-2020-15593)
Fecha de publicación:
27/07/2020
Idioma:
Español
SteelCentral Aternity Agent versiones 11.0.0.120, en Windows maneja inapropiadamente IPC. Utiliza un ejecutable que se ejecuta como un servicio de Windows muy privilegiado para llevar a cabo tareas administrativas y recopilar datos de otros procesos. Distribuye la funcionalidad entre diferentes procesos y utiliza primitivas IPC (Inter-Process Communication) para permitir a los procesos cooperar. Cualquier usuario en el sistema puede acceder al canal de comunicación entre procesos AternityAgentAssistantIpc, recuperar un objeto serializado y llamar a métodos de objetos remotamente. Entre otros, los métodos permiten a cualquier usuario: (1) Crear y/o sobrescribir archivos XML arbitrarios en todo el sistema; (2) Crear directorios arbitrarios en todo el sistema; y (3) Cargar plugins arbitrarios (es decir, ensamblajes de C #) desde el directorio "%PROGRAMFILES(X86)/Aternity Information Systems/Assistant/plugins” y ejecutar el código contenido en ellos
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en los archivos de rastreo en IBM MQ Appliance (CVE-2020-4498)
Fecha de publicación:
27/07/2020
Idioma:
Español
IBM MQ Appliance versión 9.1 LTS y CD versión 9.1, podrían permitir a un usuario privilegiado local obtener información altamente confidencial debido a una inclusión de datos en los archivos de rastreo. IBM X-Force ID: 182118
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en autenticación de una aplicación en una interfaz especificada en los teléfonos inteligentes HUAWEI P30 (CVE-2020-9077)
Fecha de publicación:
27/07/2020
Idioma:
Español
Los teléfonos inteligentes HUAWEI P30 con versiones anteriores a 10.1.0.160(C00E160R2P11), presentan una vulnerabilidad de exposición de información. El sistema no autentica apropiadamente la aplicación que accede a una interfaz especificada. Los atacantes pueden engañar a usuarios para que instalen software malicioso para explotar esta vulnerabilidad y obtener información sobre el dispositivo. Una explotación con éxito puede causar una divulgación de información
Gravedad CVSS v3.1: BAJA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades