Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de un paquete en los PLC de la serie Mitsubishi MELSEC iQ-R (CVE-2020-16850)
Fecha de publicación:
30/11/2020
Idioma:
Español
Los PLC de la serie Mitsubishi MELSEC iQ-R con firmware 49 permiten a un atacante no autenticado detener el proceso industrial enviando un paquete diseñado a través de la red. Este ataque de denegación de servicio expone una Validación de Entrada Inapropiada. Después de detenerse, el acceso físico al PLC es requerido para restaurar la producción y se pierde el estado del dispositivo. Esto está relacionado con R04CPU, RJ71GF11-T2, R04CPU y RJ71GF11-T2
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el componente IPv4/ICMPv4 en los dispositivos Canon MF237w (CVE-2020-16849)
Fecha de publicación:
30/11/2020
Idioma:
Español
Se detectó un problema en los dispositivos Canon MF237w versión 06.07. Un problema de "Improper Handling of Length Parameter Inconsistency" en el componente IPv4/ICMPv4, cuando se maneja un paquete enviado por un atacante de red no autenticado, puede exponer información confidencial
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2020

Vulnerabilidad en llaveros de cinco dígitos VIN en el módulo de control de carrocería (BCM) en los vehículos Tesla Model X (CVE-2020-29439)
Fecha de publicación:
30/11/2020
Idioma:
Español
Los vehículos Tesla Model X anterior al 23-11-2020 tienen llaveros que dependen de cinco dígitos VIN para la autenticación necesaria para que un módulo de control de carrocería (BCM) inicie una acción de activación de Bluetooth. (El VIN completo es visible desde el exterior del vehículo)
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en llaveros con actualizaciones de firmware sin verificación de firma en los vehículos Tesla Model X (CVE-2020-29438)
Fecha de publicación:
30/11/2020
Idioma:
Español
Los vehículos Tesla Model X anterior al 23-11-2020 tienen llaveros que aceptan actualizaciones de firmware sin verificación de firma. Esto permite a atacantes construir firmware que recupere un código de desbloqueo de un chip de enclave seguro
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en almacenamiento de archivos temporales en /var/tmp/audacity-$USER en Audacity (CVE-2020-11867)
Fecha de publicación:
30/11/2020
Idioma:
Español
Audacity versiones hasta 2.3.3 guarda archivos temporales en /var/tmp/audacity-$USER por defecto. Una vez que Audacity crea el directorio temporal, establece sus permisos en 755. Cualquier usuario del sistema puede leer y reproducir los archivos .au de audio temporales que se encuentran allí
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en archivos de cuarentena y de sysinfo en Quick Heal Total Security (CVE-2020-27586)
Fecha de publicación:
30/11/2020
Idioma:
Español
Quick Heal Total Security anterior a versión 19.0, transmite archivos de cuarentena y de sysinfo por medio de texto sin cifrar
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2020

Vulnerabilidad en la contraseña en los archivos en el File Vault en Quick Heal Total Security (CVE-2020-27587)
Fecha de publicación:
30/11/2020
Idioma:
Español
Quick Heal Total Security versiones anteriores a 19.0, permite a atacantes con derechos de administrador local obtener acceso a los archivos en el File Vault mediante un ataque de fuerza bruta sobre la contraseña
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2020

Vulnerabilidad en la contraseña de configuración en Quick Heal Total Security (CVE-2020-27585)
Fecha de publicación:
30/11/2020
Idioma:
Español
Quick Heal Total Security versiones anteriores a 19.0, permite a atacantes con derechos de administrador local modificar la configuración confidencial del antivirus mediante un ataque de fuerza bruta sobre la contraseña de configuración
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en el campo de búsqueda en addons/?q= en el plugin EventON para WordPress (CVE-2020-29395)
Fecha de publicación:
30/11/2020
Idioma:
Español
El plugin EventON versiones hasta 3.0.5 para WordPress, permite un XSS de addons/?q= por medio del campo de búsqueda
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2022

Vulnerabilidad en PbootCMS (CVE-2020-17901)
Fecha de publicación:
30/11/2020
Idioma:
Español
una vulnerabilidad de tipo Cross-site request forgery (CSRF) en PbootCMS versión 1.3.2, permite a atacantes cambiar la contraseña de un usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2020

Vulnerabilidad en en Lenovo PCManager (CVE-2020-8351)
Fecha de publicación:
30/11/2020
Idioma:
Español
Se reportó una vulnerabilidad de escalada de privilegios en Lenovo PCManager anterior a versión 3.0.50.9162, que podría permitir a un usuario autenticado ejecutar código con privilegios elevados
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2020

Vulnerabilidad en el archivo dlt_common.c en la función dlt_filter_load en fscanf en dlt-daemon (CVE-2020-29394)
Fecha de publicación:
30/11/2020
Idioma:
Español
Un desbordamiento de búfer en la función dlt_filter_load en el archivo dlt_common.c en dlt-daemon hasta la versión 2.18.5 (GENIVI Diagnostic Log and Trace) permite una ejecución de código arbitraria porque fscanf es usado incorrectamente (no hay límite en el número de caracteres que se leerán en un argumento de formato)
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2023
Suscribirse a Vulnerabilidades