Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una etiqueta CORS ExposeHeade en encabezados HTTP en Red Hat Ceph Storage RadosGW (Ceph Object Gateway) (CVE-2020-10753)
Fecha de publicación:
26/06/2020
Idioma:
Español
Se encontró un fallo en el Red Hat Ceph Storage RadosGW (Ceph Object Gateway). La vulnerabilidad está relacionada con una inyección de encabezados HTTP por medio de una etiqueta ExposeHeader de CORS. El carácter newline en la etiqueta ExposeHeader en el archivo de configuración de CORS genera una inyección de encabezado en la respuesta cuando es realizada una petición CORS. Ceph versiones 3.x y 4.x son vulnerables a este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en las peticiones /registerCpe en Zyxel CloudCNM SecuManager (CVE-2020-15335)
Fecha de publicación:
26/06/2020
Idioma:
Español
Zyxel CloudCNM SecuManager versiones 3.1.0 y 3.1.1, no posee autenticación para las peticiones /registerCpe
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2022

Vulnerabilidad en las peticiones /cnr en Zyxel CloudCNM SecuManager (CVE-2020-15336)
Fecha de publicación:
26/06/2020
Idioma:
Español
Zyxel CloudCNM SecuManager versiones 3.1.0 y 3.1.1, no posee autenticación para peticiones /cnr
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2022

Vulnerabilidad en el archivo Other-Converter.php en el parámetro GET txt en NeDi (CVE-2020-15016)
Fecha de publicación:
26/06/2020
Idioma:
Español
NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting reflejado. El archivo Other-Converter.php comprueba inapropiadamente la entrada de usuario. Un atacante puede explotar esta vulnerabilidad mediante la creación de JavaScript arbitrario en el parámetro GET txt
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en el archivo Devices-Config.php en el parámetro GET sta en NeDi (CVE-2020-15017)
Fecha de publicación:
26/06/2020
Idioma:
Español
NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting reflejado. El archivo Devices-Config.php comprueba inapropiadamente la entrada de usuario. Un atacante puede explotar esta vulnerabilidad mediante la creación de JavaScript arbitrario en el parámetro GET sta
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en la Interfaz de Usuario Web en IBM Maximo Asset Management (CVE-2020-4223)
Fecha de publicación:
26/06/2020
Idioma:
Español
IBM Maximo Asset Management versiones 7.6.0.10 y 7.6.1.1, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código arbitrario de JavaScript en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 175121
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en el envío de sentencias SQL en IBM Maximo Asset Management (CVE-2019-4650)
Fecha de publicación:
26/06/2020
Idioma:
Español
IBM Maximo Asset Management versión 7.6.1.1, es vulnerable a una inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, lo que podría permitir al atacante visualizar, agregar, modificar o eliminar información en la base de datos en el back-end. IBM X-Force ID: 170961
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en las comunicaciones entre la aplicación y el servidor en IBM Spectrum Protect Plus (CVE-2020-4565)
Fecha de publicación:
26/06/2020
Idioma:
Español
IBM Spectrum Protect Plus versiones 10.1.0 hasta 10.1.5, podría permitir a un atacante obtener información confidencial debido a comunicaciones no seguras que son usadas entre la aplicación y el servidor. IBM X-Force ID: 183935
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2020

Vulnerabilidad en el uso de delive/CPEManager/AXCampaignManager/delete_cpes_by_ids?cpe_ids= en código Python en Zyxel CloudCNM SecuManage (CVE-2020-15348)
Fecha de publicación:
26/06/2020
Idioma:
Español
Zyxel CloudCNM SecuManager versiones 3.1.0 y 3.1.1, permite el uso de live/CPEManager/AXCampaignManager/delete_cpes_by_ids?cpe_ids= para una inyección eval del código Python
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

CVE-2020-15311
Fecha de publicación:
26/06/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2008-4080. Reason: This candidate is a duplicate of CVE-2008-4080.2. Notes: All CVE users should reference CVE-2008-4080.2 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en los archivos site_edit.php, search_incidents_advanced.php y report_qbe.php en los parámetros typeid o site, search_title y criteriafield respectivamente en Support Incident Tracker (CVE-2020-15308)
Fecha de publicación:
26/06/2020
Idioma:
Español
Support Incident Tracker (también se conoce como SiT! O SiTracker) versión 3.67 p2, permite una inyección SQL posterior a la autenticación por medio del parámetro typeid o site del archivo site_edit.php, el parámetro search_title del archivo search_incidents_advanced.php o el parámetro criteriafield del archivo report_qbe.php
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2020

Vulnerabilidad en un archivo de entrada de mosaico en el archivo IlmImf/ImfTiledInputFile.cpp en la función TiledInputFile::TiledInputFile() en OpenEXR (CVE-2020-15304)
Fecha de publicación:
26/06/2020
Idioma:
Español
Se detectó un problema en OpenEXR versiones anteriores a v2.5.2. Un archivo de entrada de mosaico no válido podría provocar un acceso de la memoria no válido en la función TiledInputFile::TiledInputFile() en el archivo IlmImf/ImfTiledInputFile.cpp, como es demostrado por una desreferencia del puntero NULL
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades