Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2020-27165
Fecha de publicación:
10/11/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-28050. Reason: This candidate is a reservation duplicate of CVE-2020-28050. Notes: All CVE users should reference CVE-2020-28050 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en un APK en la carpeta /data/vendor/upgrade en el sistema de archivos en la serie TCL Android Smart TV V8-R851T02-LF1 y V8-T658T01-LF1 (CVE-2020-28055)
Fecha de publicación:
10/11/2020
Idioma:
Español
Una vulnerabilidad en la serie TCL Android Smart TV V8-R851T02-LF1 versiones V295 y por debajo y V8-T658T01-LF1 versiones V373 y por debajo de TCL Technology Group Corporation, permite a un atacante local no privilegiado, tal y como una aplicación maliciosa, leer y escribir en /data/vendor/tcl, /data/vendor/upgrade y /var/TerminalManager dentro del sistema de archivos del TV. Un atacante, como un APK malicioso o un usuario local no privilegiado, podría llevar a cabo actualizaciones del sistema falsas al escribir en la carpeta /data/vendor/upgrade
Gravedad CVSS v3.1: ALTA
Última modificación:
08/12/2020

Vulnerabilidad en un servidor web en el puerto 7989 en la serie TCL Android Smart TV V8-R851T02-LF1 y V8-T658T01-LF1 (CVE-2020-27403)
Fecha de publicación:
10/11/2020
Idioma:
Español
Una vulnerabilidad en la serie TCL Android Smart TV V8-R851T02-LF1 versiones V295 y por debajo y V8-T658T01-LF1 versiones V373 y por debajo de TCL Technology Group Corporation, permite a un atacante en la red adyacente navegar y descargar arbitrariamente archivos confidenciales a través de un servidor web no seguro ejecutándose en el puerto 7989 que enumera todos los archivos y directorios. Un atacante remoto no privilegiado en la red adyacente puede descargar la mayoría de los archivos del sistema, conllevando a una divulgación de información crítica seria. Además, algunos modelos de televisión y/o versiones FW pueden exponer el servidor web con todo el sistema de archivos accesible en otro puerto. Por ejemplo, la exploración de nmap para todos los puertos ejecutados directamente desde el modelo de TV U43P6046 (Android 8.0) mostró el puerto 7983 no mencionado en la descripción original de CVE, pero que contenía el mismo listado de directorios de todo el sistema de archivos. Este servidor web está vinculado (al menos) a la interfaz del host local y es accesible libremente a todas las aplicaciones instaladas sin privilegios en el Android, como un navegador web normal. Por lo tanto, cualquier aplicación puede leer cualquier archivo de cualquier otra aplicación, incluyendo la configuración del sistema Android, incluyendo datos sensibles como contraseñas guardadas, claves privadas, etc.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el componente Core de TIBCO iProcess Workspace (Browser) de TIBCO Software Inc (CVE-2020-27146)
Fecha de publicación:
10/11/2020
Idioma:
Español
El componente Core de TIBCO iProcess Workspace (Browser) de TIBCO Software Inc. contiene una vulnerabilidad que teóricamente permite a un atacante no autenticado con acceso a la red ejecutar un ataque de tipo Cross Site Request Forgery (CSRF) en el sistema afectado. Un ataque con éxito que utilice esta vulnerabilidad requiere una interacción humana de un usuario autenticado diferente del atacante. Las versiones afectadas son TIBCO iProcess Workspace (Browser) de TIBCO Software Inc.: versiones 11.6.0 y por debajo
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en los registros de costos de los objetos en los reportes de PS en SAP ERP y SAP S/4 HANA (CVE-2020-6316)
Fecha de publicación:
10/11/2020
Idioma:
Español
SAP ERP y SAP S/4 HANA, permiten a un usuario autenticado visualizar los registros de costos de objetos para los que no cuenta con autorización en los reportes de PS, conllevando a una Falta de Comprobación de Autorización
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/11/2020

Vulnerabilidad en la consola de administrador y el sistema de archivos en SAP NetWeaver AS JAVA (CVE-2020-26820)
Fecha de publicación:
10/11/2020
Idioma:
Español
SAP NetWeaver AS JAVA, versiones - 7.20, 7.30, 7.31, 7.40, 7.50, permite a un atacante que es autenticado como administrador usar la consola de administrador, exponer el acceso no autenticado al sistema de archivos y cargar un archivo malicioso. El atacante u otro usuario pueden usar un mecanismo separado para ejecutar los comandos del Sistema Operativo por medio del archivo cargado conllevando a una Escalada de Privilegios y comprometer completamente la confidencialidad, integridad y disponibilidad del sistema operativo del servidor y cualquier aplicación que se ejecute en él
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en Control de Acceso en los componentes de Web Dynpro en SAP NetWeaver AS ABAP (CVE-2020-26819)
Fecha de publicación:
10/11/2020
Idioma:
Español
SAP NetWeaver AS ABAP (Web Dynpro), versiones - 731, 740, 750, 751, 752, 753, 754, 755, 782, permite a un usuario autenticado acceder a los componentes de Web Dynpro, lo que luego permite leer y eliminar archivos de registro de la base de datos debido a un Control de Acceso Inapropiado
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2022

Vulnerabilidad en SVG Converter Service en SAP Solution Manager (CVE-2020-26821)
Fecha de publicación:
10/11/2020
Idioma:
Español
SAP Solution Manager (JAVA stack), versión - 7.20, permite a un atacante no autenticado comprometer el sistema debido a una falta de comprobación de autorización en SVG Converter Service, esto presenta un impacto en la integridad y disponibilidad del servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en Outside Discovery Configuration Service en SAP Solution Manager (CVE-2020-26822)
Fecha de publicación:
10/11/2020
Idioma:
Español
SAP Solution Manager (JAVA stack), versión - 7.20, permite a un atacante no autenticado comprometer el sistema debido a una falta de comprobación de autorización en Outside Discovery Configuration Service, esto presenta un impacto en la integridad y disponibilidad del servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en Upgrade Diagnostics Agent Connection Service en SAP Solution Manager (CVE-2020-26823)
Fecha de publicación:
10/11/2020
Idioma:
Español
SAP Solution Manager (JAVA stack), versión - 7.20, permite a un atacante no autenticado comprometer el sistema debido a una falta de comprobación de autorización en Upgrade Diagnostics Agent Connection Service, esto presenta un impacto en la integridad y disponibilidad del servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en Upgrade Legacy Ports Service en SAP Solution Manager (CVE-2020-26824)
Fecha de publicación:
10/11/2020
Idioma:
Español
SAP Solution Manager (JAVA stack), versión - 7.20, permite a un atacante no autenticado comprometer el sistema debido a una falta de comprobación de autorización en Upgrade Legacy Ports Service, esto presenta un impacto en la integridad y disponibilidad del servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en el envío de una petición a una aplicación web en SAP Fiori Launchpad (CVE-2020-26815)
Fecha de publicación:
10/11/2020
Idioma:
Español
SAP Fiori Launchpad (News tile Application), versiones: 750,751,752,753,754,755, permite a un atacante no autorizado enviar una petición diseñada hacia una aplicación web vulnerable. Usualmente, se usa para apuntar a sistemas internos detrás de firewalls que son normalmente inaccesibles para un atacante desde la red externa para recuperar recursos sensibles y confidenciales que de otro modo están restringidos solo para uso interno, resultando en una vulnerabilidad de tipo Server-Side Request Forgery
Gravedad CVSS v3.1: ALTA
Última modificación:
24/11/2020
Suscribirse a Vulnerabilidades