Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la comprobación de permisos en el recurso ActionsAndOperations en Jira Server (CVE-2020-14185)
Fecha de publicación:
15/10/2020
Idioma:
Español
Las versiones afectadas de Jira Server permiten a atacantes remotos no autenticados enumerar las claves de emisión por medio de una falta de comprobación de permisos en el recurso ActionsAndOperations. Las versiones afectadas son anteriores a 7.13.18, desde la versión 8.0.0 anteriores a 8.5.9 y desde la versión 8.6.0 anteriores a la versión 8.12.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2022

Vulnerabilidad en la carpeta webroot en las barras diagonales inversas en los sistemas operativos Windows en Eclipse Vert.x (CVE-2019-17640)
Fecha de publicación:
15/10/2020
Idioma:
Español
En Eclipse Vert.x versiones 3.4.x hasta 3.9.4, versiones 4.0.0.milestone1, 4.0.0.milestone2, 4.0.0.milestone3, 4.0.0.milestone4, 4.0.0.milestone5, 4.0.0.Beta1, 4.0.0.Beta2 y 4.0.0.Beta3, StaticHandler no procesa correctamente las barras diagonales inversas en los sistemas operativos Windows, permitiendo escapar la carpeta webroot en el directorio de trabajo actual
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad single sign-on ("Allow logon without password") en SIPORT MP (CVE-2020-7591)
Fecha de publicación:
15/10/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en SIPORT MP (Todas las versiones anteriores a 3.2.1). Las versiones vulnerables del dispositivo podrían permitir a un atacante autenticado hacerse pasar por otros usuarios del sistema y llevar a cabo acciones (potencialmente administrativas) en nombre de esos usuarios si la funcionalidad single sign-on ("Allow logon without password") está habilitada
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2022

Vulnerabilidad en los nombres de los agentes en la interfaz externa en OTRS (CVE-2020-1777)
Fecha de publicación:
15/10/2020
Idioma:
Español
Los nombres de los agentes que participan en una conversación de chat se revelan en determinadas partes de la interfaz externa, así como en las transcripciones de chat dentro de los tickets, cuando el sistema está configurado para enmascarar los nombres reales de los agentes. Este problema afecta a OTRS; versiones 7.0.21 y anteriores, versiones 8.0.6 y anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2021

Vulnerabilidad en el encabezado HTTP X-Frame-Options en Desigo Insight (CVE-2020-15793)
Fecha de publicación:
15/10/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo Insight (todas las versiones). El dispositivo no establece apropiadamente el encabezado HTTP X-Frame-Options, que lo hace vulnerable a ataques de tipo Clickjacking. Esto podría permitir a un atacante no autenticado recuperar o modificar datos en el contexto de un usuario legítimo engañando a ese usuario para que haga clic en un sitio web controlado por el atacante
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2020

Vulnerabilidad en la comprobación de entrada en algunos parámetros de consulta en un área reservada en el servicio web en Desigo Insight (CVE-2020-15792)
Fecha de publicación:
15/10/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo Insight (todas las versiones). El servicio web no aplica apropiadamente la comprobación de entrada para algunos parámetros de consulta en un área reservada. Esto podría permitir a un atacante autenticado recuperar datos por medio de un ataque de inyección SQL ciego basado en contenido
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2022

Vulnerabilidad en algunos mensajes de error en la aplicación web en Desigo Insight (CVE-2020-15794)
Fecha de publicación:
15/10/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo Insight (todas las versiones). Algunos mensajes de error en la aplicación web muestran la ruta absoluta al recurso requerido. Esto podría permitir a un atacante autenticado recuperar información adicional sobre el sistema host
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/11/2021

Vulnerabilidad en la Autorización en un servicio TFTP activo en diversos dispositivos Pepperl+Fuchs P+F Comtrol RocketLinx (CVE-2020-12504)
Fecha de publicación:
15/10/2020
Idioma:
Español
Una vulnerabilidad de Autorización Inapropiada de Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ES9528-XTv2, ES7506, ES7510, ES7528, ES8508, ES8508F, ES8510, ES8510-XTE, ES9528-XT (todas las versiones) e ICRL-M-8RJ45/4SFP-G-DIN, ICRL-M-16RJ45/4CP-G-DIN FW versiones 1.2.3 y por debajo, presentan un servicio TFTP activo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2022

Vulnerabilidad en la Autorización en el uso de cuentas no documentadas en diversos dispositivos Pepperl+Fuchs P+F Comtrol RocketLinx (CVE-2020-12501)
Fecha de publicación:
15/10/2020
Idioma:
Español
Una vulnerabilidad de Autorización Inapropiada de Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ES9528-XTv2, ES7506, ES7510, ES7528, ES8508, ES8508F, ES8510, ES8510-XTE, ES9528-XT (todas las versiones), utilizan cuentas no documentadas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/01/2024

Vulnerabilidad en la Autorización en diversos Pepperl+Fuchs P+F Comtrol RocketLinx (CVE-2020-12502)
Fecha de publicación:
15/10/2020
Idioma:
Español
Una vulnerabilidad de Autorización Inapropiada de Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ES9528-XTv2, ES7506, ES7510, ES7528, ES8508, ES8508F, ES8510, ES8510-XTE, ES9528-XT (todas las versiones) e ICRL-M-8RJ45/4SFP-G-DIN, ICRL-M-16RJ45/4CP-G-DIN FW versiones 1.2.3 y por debajo, son propensos a una administración de dispositivos no autenticados
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en la Autorización en diversos dispositivos Pepperl+Fuchs P+F Comtrol RocketLinx (CVE-2020-12503)
Fecha de publicación:
15/10/2020
Idioma:
Español
Una vulnerabilidad de Autorización Inapropiada de Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ES9528-XTv2, ES7506, ES7510, ES7528, ES8508, ES8508F, ES8510, ES8510-XTE, ES9528-XT (todas las versiones) e ICRL-M-8RJ45/4SFP-G-DIN, ICRL-M-16RJ45/4CP-G-DIN FW versiones 1.2.3 y por debajo, son propensos a múltiples inyecciones de comandos autenticados
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en la Autorización en diversos dispositivos Pepperl+Fuchs P+F Comtrol RocketLinx (CVE-2020-12500)
Fecha de publicación:
15/10/2020
Idioma:
Español
Una vulnerabilidad de Autorización Inapropiada de Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ES9528-XTv2, ES7506, ES7510, ES7528, ES8508, ES8508F, ES8510, ES8510-XTE, ES9528-XT (todas las versiones), permite la administración de dispositivos no autenticados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2022
Suscribirse a Vulnerabilidades