Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una cuenta y contraseña de API embebidas en el firmware Barco wePresent WiPG-1600W (CVE-2020-28329)
Fecha de publicación:
24/11/2020
Idioma:
Español
El firmware Barco wePresent WiPG-1600W incluye una cuenta y contraseña de API embebidas que se pueden detectar al inspeccionar la imagen del firmware. Un actor malicioso podría usar esta contraseña para acceder a funciones administrativas autenticadas en la API. Versiones afectadas: 2.5.1.8, 2.5.0.25, 2.5.0.24, 2.4.1.19
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/12/2020

Vulnerabilidad en la comunicación IPC con varios demonios en ACL en pacemaker (CVE-2020-25654)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se encontró un fallo de omisión de ACL en pacemaker. Un atacante que tenga una cuenta local en el clúster y en el grupo haclient podría usar la comunicación IPC con varios demonios directamente para llevar a cabo determinadas tareas que las ACL no podrían hacer si pasaran por la configuración
Gravedad CVSS v3.1: ALTA
Última modificación:
29/09/2023

Vulnerabilidad en el adaptador de Recursos en una contraseña JMS en el archivo de registro en WildFly (CVE-2020-25640)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un fallo en WildFly versiones anteriores a 21.0.0.Final donde, el adaptador de Recursos registra una contraseña JMS de texto plano en el nivel de advertencia en caso de error de conexión, insertando información confidencial en el archivo de registro
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un hash de contraseña en la imagen del firmware en el dispositivo Barco wePresent WiPG-1600W (CVE-2020-28334)
Fecha de publicación:
24/11/2020
Idioma:
Español
Los dispositivos Barco wePresent WiPG-1600W utilizan Credenciales Embebidas (problema 2 de 2). Versiones afectadas: 2.5.1.8, 2.5.0.25, 2.5.0.24, 2.4.1.19. El dispositivo Barco wePresent WiPG-1600W presentan un hash de contraseña root embebido incluido en la imagen del firmware. Explotando el CVE-2020-28329, CVE-2020-28330 y CVE-2020-28331, podría potencialmente ser explotado en una simple y automatizada cadena de explotación para pasar de un atacante remoto no autenticado a un shell root
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/12/2020

Vulnerabilidad en la verificación de actualizaciones de firmware firmadas digitalmente en los dispositivos Barco wePresent WiPG-1600W (CVE-2020-28332)
Fecha de publicación:
24/11/2020
Idioma:
Español
Los dispositivos Barco wePresent WiPG-1600W descargan el código sin una Comprobación de Integridad. Versiones afectadas: 2.5.1.8, 2.5.0.25, 2.5.0.24, 2.4.1.19. El firmware Barco wePresent WiPG-1600W no lleva a cabo la verificación de actualizaciones de firmware firmadas digitalmente y es susceptible de procesar e instalar imágenes modificadas y maliciosas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/12/2020

Vulnerabilidad en una consulta autenticada en la interfaz de usuario web principal en el puerto 443/tcp en los dispositivos Barco wePresent WiPG-1600W (CVE-2020-28330)
Fecha de publicación:
24/11/2020
Idioma:
Español
Los dispositivos Barco wePresent WiPG-1600W presentan un Transporte de Credenciales No Protegidas. Versión (s) afectada (s): 2.5.1.8. Un atacante armado con credenciales API embebidas (recuperadas mediante la explotación del CVE-2020-28329) puede emitir una consulta autenticada para mostrar la contraseña de administrador para la interfaz de usuario web principal que escucha en el puerto 443/tcp de un dispositivo Barco wePresent WiPG-1600W
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/12/2020

Vulnerabilidad en un dispositivo NAT o proxy web en un token "SEID en las URL en las peticiones GET en los dispositivos Barco wePresent WiPG-1600W (CVE-2020-28333)
Fecha de publicación:
24/11/2020
Idioma:
Español
Los dispositivos Barco wePresent WiPG-1600W permiten una Omisión de Autenticación. Versión(es) afectada(s): 2.5.1.8. La interfaz web Barco wePresent WiPG-1600W no utiliza cookies de sesión para rastrear sesiones autenticadas. En su lugar, la interfaz web utiliza un token "SEID" que es agregado al final de las URL en las peticiones GET. Por lo tanto, el "SEID" estaría expuesto en los registros del proxy web y en el historial del navegador. Un atacante que es capaz de capturar el "SEID" y originar peticiones desde la misma dirección IP (por medio de un dispositivo NAT o proxy web) podría ser capaz de acceder a la interfaz de usuario del dispositivo sin tener que conocer las credenciales
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en el contenido de la base de datos en Karenderia Multiple Restaurant System (CVE-2020-28994)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó una vulnerabilidad de inyección SQL en Karenderia Multiple Restaurant System, afectando a las versiones 5.4.2 y por debajo. La vulnerabilidad permite a un atacante no autenticado llevar a cabo varias tareas, tales como modificar y filtrar todo el contenido de la base de datos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/11/2020

Vulnerabilidad en un demonio SSH en una variable de archivo de configuración en los dispositivos Barco wePresent WiPG-1600W (CVE-2020-28331)
Fecha de publicación:
24/11/2020
Idioma:
Español
Los dispositivos Barco wePresent WiPG-1600W presentan un Control de Acceso Inapropiado. Versión(es) afectada(s): 2.5.1.8. El dispositivo Barco wePresent WiPG-1600W presenta un demonio SSH incluido en la imagen del firmware. Por defecto, el demonio SSH está desactivado y no se inicia al arrancar el sistema. Los scripts de inicialización del sistema leen una variable de archivo de configuración del dispositivo para visualizar si el demonio SSH debe ser iniciado. La interfaz web no proporciona una capacidad visible para alterar esta variable de archivo de configuración. Sin embargo, un actor malicioso puede incluir esta variable en una POST de modo que el demonio SSH sea reiniciado cuando se inicie el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en wcsnrtombs en musl libc (CVE-2020-28928)
Fecha de publicación:
24/11/2020
Idioma:
Español
En musl libc versiones hasta 1.2.1, wcsnrtombs maneja inapropiadamente combinaciones particulares de tamaño de búfer de destino y límite de caracteres de origen, como es demostrado por un acceso de escritura no válido (desbordamiento de búfer)
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en scripts OGNL o MVEL en el endpoint público /context.json en Apache Unomi (CVE-2020-13942)
Fecha de publicación:
24/11/2020
Idioma:
Español
Es posible inyectar scripts OGNL o MVEL maliciosos en el endpoint público /context.json. Esto fue parcialmente corregido en la versión 1.5.1, pero un nuevo vector de ataque fue encontrado. En Apache Unomi versión 1.5.2, los scripts ahora están completamente filtrados de la entrada. Se recomienda altamente actualizar a la última versión disponible de la versión 1.5.x para corregir este problema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el panel web de administración del enrutador en los dispositivos Fastweb FASTGate GPON FGA2130FWB (CVE-2020-13620)
Fecha de publicación:
24/11/2020
Idioma:
Español
Los dispositivos Fastweb FASTGate GPON FGA2130FWB hasta el 26-05-2020, permiten un ataque de tipo CSRF por medio del panel web de administración del enrutador, conllevando a una capacidad del atacante para llevar a cabo acciones administrativas tales como modificar la configuración
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2020
Suscribirse a Vulnerabilidades