Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en token de sesión en ControlEdge PLC y RTU (CVE-2020-10624)
Fecha de publicación:
26/06/2020
Idioma:
Español
ControlEdge PLC (versiones R130.2, R140, R150 y R151) y RTU (versiones R101, R110, R140, R150 y R151), exponen un token de sesión en la red
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2020

Vulnerabilidad en el archivo shadow (etc/artemis-users.properties) en la API de administración de ActiveMQ Artemis (CVE-2020-10727)
Fecha de publicación:
26/06/2020
Idioma:
Español
Se encontró un fallo en la API de administración de ActiveMQ Artemis desde versiones 2.7.0 hasta 2.12.0, donde un usuario almacena inadvertidamente contraseñas en texto plano en el archivo shadow de Artemis (etc/artemis-users.properties) al ejecutar la operación "resetUsers". Un atacante local puede usar este fallo para leer el contenido del archivo shadow de Artemis
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/09/2021

Vulnerabilidad en el archivo crypto/authenc.c en la función crypto_authenc_extractkeys en el módulo del algoritmo Criptográfico Ipsec en el kernel de RH (CVE-2020-10769)
Fecha de publicación:
26/06/2020
Idioma:
Español
Se encontró un defecto de lectura excesiva del búfer en el kernel de RH versiones anteriores a 5.0, en la función crypto_authenc_extractkeys en el archivo crypto/authenc.c en el módulo del algoritmo Criptográfico IPsec, authenc. Cuando una carga útil de más de 4 bytes y no sigue las pautas de límites de alineación de 4 bytes, esto causa una amenaza de lectura excesiva del búfer, conllevando a un bloqueo del sistema. Este fallo permite a un atacante local con privilegios de usuario causar una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en una etiqueta CORS ExposeHeade en encabezados HTTP en Red Hat Ceph Storage RadosGW (Ceph Object Gateway) (CVE-2020-10753)
Fecha de publicación:
26/06/2020
Idioma:
Español
Se encontró un fallo en el Red Hat Ceph Storage RadosGW (Ceph Object Gateway). La vulnerabilidad está relacionada con una inyección de encabezados HTTP por medio de una etiqueta ExposeHeader de CORS. El carácter newline en la etiqueta ExposeHeader en el archivo de configuración de CORS genera una inyección de encabezado en la respuesta cuando es realizada una petición CORS. Ceph versiones 3.x y 4.x son vulnerables a este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en las peticiones /registerCpe en Zyxel CloudCNM SecuManager (CVE-2020-15335)
Fecha de publicación:
26/06/2020
Idioma:
Español
Zyxel CloudCNM SecuManager versiones 3.1.0 y 3.1.1, no posee autenticación para las peticiones /registerCpe
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2022

Vulnerabilidad en las peticiones /cnr en Zyxel CloudCNM SecuManager (CVE-2020-15336)
Fecha de publicación:
26/06/2020
Idioma:
Español
Zyxel CloudCNM SecuManager versiones 3.1.0 y 3.1.1, no posee autenticación para peticiones /cnr
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2022

Vulnerabilidad en el archivo Other-Converter.php en el parámetro GET txt en NeDi (CVE-2020-15016)
Fecha de publicación:
26/06/2020
Idioma:
Español
NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting reflejado. El archivo Other-Converter.php comprueba inapropiadamente la entrada de usuario. Un atacante puede explotar esta vulnerabilidad mediante la creación de JavaScript arbitrario en el parámetro GET txt
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en el archivo Devices-Config.php en el parámetro GET sta en NeDi (CVE-2020-15017)
Fecha de publicación:
26/06/2020
Idioma:
Español
NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting reflejado. El archivo Devices-Config.php comprueba inapropiadamente la entrada de usuario. Un atacante puede explotar esta vulnerabilidad mediante la creación de JavaScript arbitrario en el parámetro GET sta
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en la Interfaz de Usuario Web en IBM Maximo Asset Management (CVE-2020-4223)
Fecha de publicación:
26/06/2020
Idioma:
Español
IBM Maximo Asset Management versiones 7.6.0.10 y 7.6.1.1, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código arbitrario de JavaScript en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 175121
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en el envío de sentencias SQL en IBM Maximo Asset Management (CVE-2019-4650)
Fecha de publicación:
26/06/2020
Idioma:
Español
IBM Maximo Asset Management versión 7.6.1.1, es vulnerable a una inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, lo que podría permitir al atacante visualizar, agregar, modificar o eliminar información en la base de datos en el back-end. IBM X-Force ID: 170961
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en las comunicaciones entre la aplicación y el servidor en IBM Spectrum Protect Plus (CVE-2020-4565)
Fecha de publicación:
26/06/2020
Idioma:
Español
IBM Spectrum Protect Plus versiones 10.1.0 hasta 10.1.5, podría permitir a un atacante obtener información confidencial debido a comunicaciones no seguras que son usadas entre la aplicación y el servidor. IBM X-Force ID: 183935
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en el uso de delive/CPEManager/AXCampaignManager/delete_cpes_by_ids?cpe_ids= en código Python en Zyxel CloudCNM SecuManage (CVE-2020-15348)
Fecha de publicación:
26/06/2020
Idioma:
Español
Zyxel CloudCNM SecuManager versiones 3.1.0 y 3.1.1, permite el uso de live/CPEManager/AXCampaignManager/delete_cpes_by_ids?cpe_ids= para una inyección eval del código Python
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades