Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la aplicación móvil OKLOK para el Fingerprint Bluetooth Padlock FB50 (CVE-2020-8791)
Fecha de publicación:
04/05/2020
Idioma:
Español
La aplicación móvil complementaria OKLOK (versión 3.1.1) para el Fingerprint Bluetooth Padlock FB50 (versión 2.3), permite a atacantes remotos enviar peticiones de la API usando tokens autenticados pero no autorizados, resultando en problemas de IDOR. Un atacante remoto puede usar su propio token para hacer peticiones de la API no autorizadas en nombre de IDORs de usuario arbitrarios. Los ID de usuario válidos y actuales son triviales de adivinar debido a la convención de asignación de ID de usuario usada por la aplicación. Un atacante remoto podría recolectar direcciones de correo electrónico, hashes de contraseñas MD5 sin sal, nombres de candados asignados por el propietario y nombres de huellas dactilares asignados por el propietario para cualquier rango de ID de usuario arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en la aplicación móvil OKLOK para el Fingerprint Bluetooth Padlock FB50 (CVE-2020-8792)
Fecha de publicación:
04/05/2020
Idioma:
Español
La aplicación móvil OKLOK (versión 3.1.1) para el Fingerprint Bluetooth Padlock FB50 (versión 2.3), tiene un problema de exposición de información. En la aplicación para móviles, un intento de añadir un candado ya vinculado por su código de barras revela la dirección de correo electrónico de la cuenta a la que está vinculado el candado, así como el nombre del mismo. Las entradas válidas del código de barras pueden adivinarse fácilmente porque las cadenas del código de barras siguen a un patrón predecible. Las entradas de códigos de barras válidas adivinadas correctamente e introducidas por medio de la interfaz de la aplicación divulgan las direcciones de correo electrónico y los nombres de los candados de los usuarios arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en CoSoSys Endpoint Protector. (CVE-2019-13285)
Fecha de publicación:
04/05/2020
Idioma:
Español
CoSoSys Endpoint Protector versión 5.1.0.2, permite una Inyección del Encabezado Host.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/05/2020

Vulnerabilidad en el parámetro query de api2/swis/query?lang=en-us&swAlertOnError=false en Orion Platform de SolarWinds (CVE-2019-12864)
Fecha de publicación:
04/05/2020
Idioma:
Español
Orion Platform versión 2018.4 HF3 de SolarWinds (NPM versión 12.4, NetPath versión 1.1.4), es vulnerable a una Filtración de Información, debido al manejo inapropiado de errores con rastros de pila, como es demostrado al detectar una ruta completa en un Error de Servidor Interno 500 mediante el parámetro query de api2/swis/query?lang=en-us&swAlertOnError=false.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en expresiones JEXL en las plantillas de Correo en Apache Syncope (CVE-2020-1961)
Fecha de publicación:
04/05/2020
Idioma:
Español
Una vulnerabilidad de Inyección de Plantillas del Lado del Servidor en las plantillas de Correo para Apache Syncope versiones 2.0.X anteriores a la versión 2.0.15, versiones 2.1.X anteriores a la versión 2.1.6, que permiten a atacantes inyectar expresiones JEXL arbitrarias, conllevando a una Ejecución de Código Remota (RCE).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2020

Vulnerabilidad en el Nombre SLA en el archivo include/class.sla.php en osTicket (CVE-2020-12629)
Fecha de publicación:
04/05/2020
Idioma:
Español
En el archivo include/class.sla.php en osTicket versiones anteriores a la versión 1.14.2, permite un ataque de tipo XSS por medio del Nombre SLA.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2020

Vulnerabilidad en restricciones personalizadas Java Bean Validation (JSR 380) en Apache Syncope (CVE-2020-1959)
Fecha de publicación:
04/05/2020
Idioma:
Español
Se identificó una Inyección de Plantillas del Lado del Servidor en Apache Syncope versiones anteriores a la versión 2.1.6, que permitía a atacantes inyectar expresiones JEXL arbitrarias, conllevando a una vulnerabilidad de Ejecución de Código Remota (RCE) no autenticada. Apache Syncope usa validadores de restricciones personalizadas Java Bean Validation (JSR 380). Cuando se construyen mensajes de error de violación de restricciones personalizadas, ellos soportan diferentes tipos de interpolación, incluyendo expresiones de Java EL. Por lo tanto, si un atacante puede inyectar datos arbitrarios en la plantilla de mensajes de error que es pasada, ellos serían capaces de ejecutar código Java arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en el producto Micro Focus Verastream Host Integrator (VHI) (CVE-2020-11842)
Fecha de publicación:
04/05/2020
Idioma:
Español
Una vulnerabilidad de divulgación de Información en el producto Micro Focus Verastream Host Integrator (VHI), afectando a las versiones anteriores a la versión 7.8 Update 1 (7.8.49 o 7.8.0.49). La vulnerabilidad permite a un atacante no autenticado ver información que puede no haber sido autorizada para visualizar.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en en el parámetro successMessage en Apache Syncope EndUser UI (CVE-2019-17557)
Fecha de publicación:
04/05/2020
Idioma:
Español
Se ha descubierto que la página de inicio Apache Syncope EndUser UI versiones anteriores a la versión 2.0.15 y 2.1.6, refleja el parámetro successMessage. Por este motivo, un usuario que accede a la Interfaz de Usuario de Enduser podría ejecutar código javascript desde una cadena de consulta de URL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2020

Vulnerabilidad en la-Deployment-BYOS de SUSE Linux Enterprise Server (CVE-2020-8018)
Fecha de publicación:
04/05/2020
Idioma:
Español
Una vulnerabilidad de Permisos Predeterminados Incorrectos en las imágenes SLES15-SP1-CHOST-BYOS y SLES15-SP1-CAP-Deployment-BYOS de SUSE Linux Enterprise Server 15 SP1, permite a atacantes locales con el UID 1000 escalar a root debido a un directorio /etc propiedad del usuario Este problema afecta: SUSE Linux Enterprise Server 15 SP1 SLES15-SP1-CAP-Deployment-BYOS versión 1.0.1 y versiones anteriores; SLES15-SP1-CHOST-BYOS versiones anteriores a la versión 1.0.3 y versiones anteriores;
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2020

Vulnerabilidad en la función pivot_root en el kernel de Linux (CVE-2020-12114)
Fecha de publicación:
04/05/2020
Idioma:
Español
Una condición de carrera en la función pivot_root en el archivo fs/namespace.c en el kernel de Linux versiones 4.4.x anteriores a la versión 4.4.221, versiones 4.9.x anteriores a la versión 4.9.221, versiones 4.14.x anteriores a la versión 4.14.178, versiones 4.19.x anteriores a 4.19.119, y versiones 5.x anteriores a la versión 5.3, permite a usuarios locales causar una denegación de servicio (pánico) al corromper un contador de referencia de punto de montaje.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/06/2021

Vulnerabilidad en el tráfico de red en Network Center en Synology Router Manager (CVE-2019-11823)
Fecha de publicación:
04/05/2020
Idioma:
Español
Una vulnerabilidad de inyección de CRLF en Network Center en Synology Router Manager (SRM) versiones anteriores a la versión 1.2.3-8017-2, permite a atacantes remotos causar una denegación de servicio (lectura fuera de límites y bloqueo de aplicación) por medio de un tráfico de red diseñado.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2022
Suscribirse a Vulnerabilidades