Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un sitio web en el cuadro de diálogo del archivo de descarga en Firefox, Thunderbird y Firefox ESR (CVE-2020-15677)
Fecha de publicación:
01/10/2020
Idioma:
Español
Al explotar una vulnerabilidad de Redireccionamiento Abierto en un sitio web, un atacante podría haber falsificado el sitio que es mostrado en el cuadro de diálogo del archivo de descarga para mostrar el sitio original (el que sufre el redireccionamiento abierto) en lugar del sitio del que se descargó el archivo realmente. Esta vulnerabilidad afecta a Firefox versiones anteriores a 81, Thunderbird versiones anteriores a 78.3, y Firefox ESR versiones anteriores a 78.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2022

Vulnerabilidad en la función APZCTreeManager::ComputeClippedCompositionBounds en el iterador en Firefox, Thunderbird y Firefox ESR (CVE-2020-15678)
Fecha de publicación:
01/10/2020
Idioma:
Español
Al volver a recorrer las capas gráficas mientras se desplaza, es posible que un iterador pueda convertirse en no válido, resultando en un potencial uso de la memoria previamente liberada. Esto ocurre porque la función APZCTreeManager::ComputeClippedCompositionBounds no siguió las reglas de invalidación del iterador. Esta vulnerabilidad afecta a Firefox versiones anteriores a 81, Thunderbird versiones anteriores a 78.3, y Firefox ESR versiones anteriores a 78.3
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2022

Vulnerabilidad en una página web en el objeto InstallTrigger en la función eval() en una ventana about:blank en Firefox, Thunderbird, Firefox ESR y Firefox para Android (CVE-2020-15664)
Fecha de publicación:
01/10/2020
Idioma:
Español
Al mantener una referencia a la función eval() desde una ventana about:blank, una página web maliciosa podría haber conseguido acceso al objeto InstallTrigger, lo que le permitiría solicitar al usuario que instale una extensión. Combinado con la confusión del usuario, esto podría resultar en la instalación de una extensión maliciosa o involuntaria. Esta vulnerabilidad afecta a Firefox versiones anteriores a 80, Thunderbird versiones anteriores a 78.2, Thunderbird versiones anteriores a 68.12, Firefox ESR versiones anteriores a 68.12, Firefox ESR versiones anteriores a 78.2 y Firefox para Android versiones anteriores a 80
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2024

Vulnerabilidad en la barra de direcciones en un cuadro de diálogo beforeunload en una URL en Firefox (CVE-2020-15665)
Fecha de publicación:
01/10/2020
Idioma:
Español
Firefox no restableció la barra de direcciones después de que se mostrara el cuadro de diálogo beforeunload se mostrara si el usuario eligiera permanecer en la página. Esto podría haber resultado en que una URL incorrecta sea mostrada cuando se usaba en conjunto con otros comportamientos inesperados del navegador. Esta vulnerabilidad afecta a Firefox versiones anteriores a 80
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2020

Vulnerabilidad en la anulación de una operación en Firefox ESR y Thunderbird (CVE-2020-15669)
Fecha de publicación:
01/10/2020
Idioma:
Español
Cuando se anula una operación, como una recuperación, puede ser eliminada una señal de cancelación mientras se alerta a los objetos que deben ser notificados. Esto resulta en un uso de la memoria previamente liberada y suponemos que con suficiente esfuerzo podría haber sido explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.12 y Thunderbird versiones anteriores a 68.12
Gravedad CVSS v3.1: ALTA
Última modificación:
02/10/2020

Vulnerabilidad en un candado en una estructura de datos en Firefox y Firefox para Android (CVE-2020-15668)
Fecha de publicación:
01/10/2020
Idioma:
Español
Un candado esta faltando al acceder a una estructura de datos e importar información del certificado hacia la base de datos confiable. Esta vulnerabilidad afecta a Firefox versiones anteriores a 80 y Firefox para Android versiones anteriores a 80
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/10/2020

Vulnerabilidad en el envío de parámetros hacia la URL en un Framework MVC de PHP/Composer en Nette (CVE-2020-15227)
Fecha de publicación:
01/10/2020
Idioma:
Español
Nette versiones anteriores a 2.0.19, 2.1.13, 2.2.10, 2.3.14, 2.4.16, 3.0.6 son vulnerables a un ataque de inyección de código al pasar parámetros especialmente formados hacia la URL que puede posiblemente conllevar a RCE. Nette es un Framework MVC de PHP/Composer
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/11/2021

Vulnerabilidad en el archivo Updater.exe en el Servicio de Mantenimiento en un directorio escribible por el usuario en Mozilla (CVE-2020-15663)
Fecha de publicación:
01/10/2020
Idioma:
Español
Si Firefox está instalado en un directorio escribible por el usuario, el Servicio de Mantenimiento de Mozilla ejecutará el archivo updater.exe desde la ubicación de instalación con privilegios del sistema. Aunque el Servicio de Mantenimiento de Mozilla garantiza que el archivo updater.exe esté firmado por Mozilla, la versión podría haberse revertido a una versión anterior, lo que podría haber permitido una explotación de un error anterior y una ejecución de código arbitrario con Privilegios System. *Nota: este problema solo afectó a los sistemas operativos Windows. Otros sistemas operativos no están afectados.*. Esta vulnerabilidad afecta a Firefox versiones anteriores a 80, Thunderbird versiones anteriores a 78.2, Thunderbird versiones anteriores a 68.12, Firefox ESR versiones anteriores a 68.12 y Firefox ESR versiones anteriores a 78.2
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2024

Vulnerabilidad en el módulo AlarmEscalation en Zoho ManageEngine Application Manager (CVE-2020-15533)
Fecha de publicación:
01/10/2020
Idioma:
Español
En Zoho ManageEngine Application Manager versión 14.7 Build 14730 (versiones anteriores a 14684, y entre 14689 y 14750), el módulo AlarmEscalation es vulnerable a un ataque de inyección SQL no autenticado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/10/2020

Vulnerabilidad en las funciones "addPath" y "exportVariable" en Actions Runner en stdout en el módulo npm "@actions/core" (CVE-2020-15228)
Fecha de publicación:
01/10/2020
Idioma:
Español
En el módulo npm "@actions/core" versiones anteriores a 1.2.6, las funciones "addPath" y "exportVariable" se comunican con Actions Runner a través de stdout al generar una cadena en un formato específico. Los flujos de trabajo que registran datos no confiables en stdout pueden invocar estos comandos, resultando que la ruta o las variables de entorno sean modificadas sin la intención del flujo de trabajo o el autor de la acción. El corredor lanzará una actualización que deshabilita los comandos de flujo de trabajo "set-env" y "add-path" en un futuro cercano. Por ahora, los usuarios deben actualizar a "@actions/core v1.2.6" o posterior, y reemplazar cualquier instancia de los comandos "set-env" o "add-path" en sus flujos de trabajo con la nueva sintaxis de archivo de entorno. Los flujos de trabajo y las acciones que utilizan los comandos antiguos o las versiones antiguas del kit de herramientas comenzarán a advertir y luego aparecerán errores durante la ejecución del flujo de trabajo
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/11/2021

Vulnerabilidad en una serie de intentos de inicio de sesión de /auth/session en los nombres de usuario VPN en Pritunl (CVE-2020-25200)
Fecha de publicación:
01/10/2020
Idioma:
Español
** EN DISPUTA ** Pritunl versión 1.29.2145.25, permite a atacantes enumerar nombres de usuario VPN válidos por medio de una serie de intentos de inicio de sesión de /auth/session. Inicialmente, el servidor devolverá el error 401. Sin embargo, si el nombre de usuario es válido, luego de 20 intentos de inicio de sesión, el servidor comenzará a responder con el error 400. Los nombres de usuario no válidos recibirán el error 401 de forma indefinida. Nota: Esto ha sido discutido por el vendedor como no una vulnerabilidad. Ellos argumentan que este es un diseño previsto
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2024

Vulnerabilidad en el análisis de una URL de petición en Envoy master (CVE-2020-25018)
Fecha de publicación:
01/10/2020
Idioma:
Español
Envoy master versiones entre 2d69e30 y 3b5acb2, puede presentar un fallo al analizar una URL de petición que requiere la canonicalización del host
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades