Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la codificación de las entradas en SAP NetWeaver Enterprise Portal (CVE-2020-6323)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP NetWeaver Enterprise Portal (Fiori Framework Page) versiones - 7.50, 7.31, 7.40, no codifican suficientemente las entradas controladas por el usuario y permiten a un atacante en una sesión válida crear un ataque de tipo XSS que será reflejado tanto inmediatamente como también será persistente y regresará con mayor acceso al sistema, resultando en una vulnerabilidad de tipo Cross Site Scripting
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en bloques de JavaScript en cualquier página web o URL en SAP NetWeaver Application Server Java (CVE-2020-6319)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP NetWeaver Application Server Java, versiones - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50, permite a un atacante no autenticado incluir bloques de JavaScript en cualquier página web o URL con diferentes símbolos que de otro modo no están permitidos. En una explotación con éxito, un atacante puede robar información de autenticación del usuario, tal y como datos relacionados con su sesión actual e impactar de manera limitada la confidencialidad e integridad de la aplicación, conllevando a una vulnerabilidad de tipo Cross Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en una cookie en CA Introscope Enterprise Manager en SAP Solution Manager y SAP Focused Run (CVE-2020-6364)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP Solution Manager y SAP Focused Run (actualización proporcionada en WILY_INTRO_ENTERPRISE versiones 9.7, 10.1, 10.5, 10.7), permite a un atacante modificar una cookie de manera que los comandos del Sistema Operativo puedan ser ejecutados y potencialmente conseguir el control sobre el host que ejecuta CA Introscope Enterprise Manager, conllevando a una inyección de código. Con esto, el atacante es capaz de leer y modificar todos los archivos del sistema y también afectar la disponibilidad del sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2021

Vulnerabilidad en la información de cuentas de usuario en SAP NetWeaver Application Server ABAP (CVE-2020-6371)
Fecha de publicación:
15/10/2020
Idioma:
Español
Una vulnerabilidad de enumeración de usuarios puede ser explotada para obtener una lista de cuentas de usuario y la información personal del usuario puede ser expuesta en SAP NetWeaver Application Server ABAP (aplicación de prueba POWL): versiones 710, 711, 730, 731, 740, 750, conllevando a una Divulgación de Información
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/10/2022

Vulnerabilidad en Lenovo ThinkPad Stack Wireless Router (CVE-2020-8350)
Fecha de publicación:
14/10/2020
Idioma:
Español
Se reportó una vulnerabilidad de omisión de autenticación en Lenovo ThinkPad Stack Wireless Router versión de firmware 1.1.3.4, que podría permitir una escalada de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2020

Vulnerabilidad en la interfaz de administración de API REST en un VRF de Cloud Networking Operating System (CNOS) (CVE-2020-8349)
Fecha de publicación:
14/10/2020
Idioma:
Español
Una revisión de seguridad interna identificó una vulnerabilidad de ejecución de código remota no autenticada en la interfaz de administración de la API REST opcional de Cloud Networking Operating System (CNOS)’. Esta interfaz está deshabilitada por defecto y no es vulnerable a menos que esté habilitada. Cuando está habilitada, solo es vulnerable cuando está conectado a un VRF y según lo permitan las ACL definidas. Lenovo recomienda encarecidamente actualizar a una versión CNOS no vulnerable. Cuando no sea posible, Lenovo recomienda deshabilitar la interfaz de administración de la API REST o restringir el acceso al VRF de administración y limitar aún más el acceso a las estaciones de administración autorizadas mediante ACL
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/10/2020

Vulnerabilidad en la devolución de llamada de la función SMI utilizada en los controladores USB del modo BIOS heredado en algunos servidores Lenovo e IBM System x (CVE-2020-8332)
Fecha de publicación:
14/10/2020
Idioma:
Español
Una potencial vulnerabilidad en la devolución de llamada de la función SMI utilizada en los controladores USB del modo BIOS heredado en algunos servidores Lenovo e IBM System x heredados puede permitir una ejecución de código arbitraria. Los servidores que funcionan en modo UEFI no están afectados
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/10/2020

Vulnerabilidad en la ruta de búsqueda de DLL en Lenovo Diagnostics (CVE-2020-8338)
Fecha de publicación:
14/10/2020
Idioma:
Español
Se reportó una vulnerabilidad en la ruta de búsqueda de DLL en Lenovo Diagnostics versiones anteriores a 4.35.4, que podría permitir a un usuario con acceso local ejecutar código en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en la funcionalidad hardware scan en la ruta de búsqueda de DLL en Lenovo HardwareScan Plugin de Lenovo Vantage (CVE-2020-8345)
Fecha de publicación:
14/10/2020
Idioma:
Español
Se reportó una vulnerabilidad en la ruta de búsqueda de DLL en Lenovo HardwareScan Plugin para la funcionalidad hardware scan de Lenovo Vantage versiones anteriores a 1.0.46.11, que podría permitir una escalada de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
26/10/2020

Vulnerabilidad en acceso a recursos en Rapid7 Nexpose (CVE-2020-7383)
Fecha de publicación:
14/10/2020
Idioma:
Español
Un problema de inyección SQL en Rapid7 Nexpose versiones anteriores a 6.6.49, que puede haber permitido a un usuario autenticado con un nivel de permiso bajo acceder a recursos y realizar cambios a los que no debería haber sido capaz de acceder
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2020

Vulnerabilidad en valores de parámetros para "syncPointList" en McAfee ePolicy Orchistrator (ePO) (CVE-2020-7318)
Fecha de publicación:
14/10/2020
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting en McAfee ePolicy Orchistrator (ePO) versiones anteriores a 5.10.9 Update 9, permite a administradores inyectar script web o HTML arbitrario por medio de múltiples parámetros en los que las entradas del administrador no han sido saneadas correctamente
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en algunos certificados SSL en el registro en el producto Duo Network Gateway (DNG) (CVE-2020-3483)
Fecha de publicación:
14/10/2020
Idioma:
Español
Duo ha identificado y corregido un problema con el producto Duo Network Gateway (DNG) en el que algunos certificados SSL proporcionados por el cliente y claves privadas no fueron excluidas del registro. Este problema resultó en que la información del certificado y la clave privada ha sido escrita en texto plano para archivos locales en el host DNG. Cualquier clave privada registrada de esta manera podría ser visualizada por aquellos con acceso al sistema operativo host DNG sin necesidad de invertir valores cifrados o técnicas similares. Un atacante que consiguió acceso a los registros DNG y con la capacidad de interceptar y manipular el tráfico de red entre un usuario y el DNG, podría descifrar y manipular conexiones SSL/TLS en el DNG y en las aplicaciones protegidas detrás de él. Duo Network Gateway (DNG) versiones 1.3.3 hasta 1.5.7 están afectadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/10/2020
Suscribirse a Vulnerabilidades