Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el almacenamiento de Contraseñas en Unisys Stealth(core) (CVE-2020-24620)
Fecha de publicación:
01/10/2020
Idioma:
Español
Unisys Stealth(core) versiones anteriores a 4.0.134, almacena las Contraseñas en un Formato Recuperable. Por lo tanto, una búsqueda de Enterprise Manager puede potencialmente revelar las credenciales.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2021

Vulnerabilidad en un recurso AuthorizationPolicy con acciones DENY en los campos source principals o namespace en Istio (CVE-2020-16844)
Fecha de publicación:
01/10/2020
Idioma:
Español
En Istio versiones 1.5.0 hasta 1.5.8 e Istio versiones 1.6.0 hasta 1.6.7, cuando los usuarios especifican un recurso AuthorizationPolicy con acciones DENY usando sufijos de comodín (por ejemplo, *-some-suffix) para los campos source principals o namespace, a los que llaman nunca se le denegará el acceso, omitiendo la política prevista
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2020

Vulnerabilidad en la API de mapa de encabezado de la función setCopy() de Envoy (CVE-2020-25017)
Fecha de publicación:
01/10/2020
Idioma:
Español
Envoy versiones hasta 1.15.0, solo considera el primer valor cuando múltiples valores de encabezado están presentes para algunos encabezados HTTP. La API de mapa de encabezado de la función setCopy() de Envoy no reemplaza todas las ocurrencias existentes de un encabezado no en línea
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la página system configurations en la aplicación Web de los dispositivos Rittal CMC PU III 7030.000 (CVE-2019-19393)
Fecha de publicación:
01/10/2020
Idioma:
Español
La aplicación Web de los dispositivos Rittal CMC PU III 7030.000 versiones V3.00, V3.11.00_2 hasta V3.15.70_4, no sanea la entrada del usuario en la página system configurations. Esto permite a un atacante hacer una puerta trasera en el dispositivo con HTML y contenido interpretado por el navegador (como JavaScript u otros scripts del lado del cliente) ya que el contenido es siempre mostrado antes y después del inicio de sesión. Una vulnerabilidad de tipo XSS persistente permite a un atacante modificar el contenido mostrado o cambiar la información de la víctima. Una explotación con éxito requiere acceso a la interfaz de administración web, ya sea con credenciales válidas o una sesión secuestrada
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2020

Vulnerabilidad en una secuencia de objetos serializados en IBM WebSphere Application Server (CVE-2020-4576)
Fecha de publicación:
01/10/2020
Idioma:
Español
IBM WebSphere Application Server versiones 7.5, 8.0, 8.5 y 9.0 tradicional podría permitir a un atacante remoto obtener información confidencial con una secuencia de objetos serializados especialmente diseñada. IBM X-Force ID: 184428
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2020

Vulnerabilidad en el acceso a Content Manager en los campos de texto en CMS Made Simple (CVE-2020-24860)
Fecha de publicación:
01/10/2020
Idioma:
Español
CMS Made Simple versión 2.2.14, permite a un usuario autenticado con acceso al Content Manager editar el contenido y colocar la carga útil de tipo XSS persistente en los campos de texto afectados. El usuario puede obtener cookies de cada usuario autenticado que visita el sitio web
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/10/2020

Vulnerabilidad en la página Settings en el parámetro "permalink" en GetSimple CMS (CVE-2020-24861)
Fecha de publicación:
01/10/2020
Idioma:
Español
GetSimple CMS versión 3.3.16, permite en el parámetro "permalink" en la página Settings un ataque de tipo Cross Site Scripting persistente que es ejecutado cuando creas y abres una nueva página
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/10/2020

Vulnerabilidad en el archivo /websitebaker/admin/preferences/save.php en el parámetro "display_name" en la base de datos subyacente en WebsiteBaker (CVE-2020-25990)
Fecha de publicación:
01/10/2020
Idioma:
Español
WebsiteBaker versión 2.12.2, permite una inyección de SQL por medio del parámetro "display_name" en el archivo /websitebaker/admin/preferences/save.php. Explotar este problema podría permitir a un atacante comprometer la aplicación, acceder o modificar datos o explotar vulnerabilidades latentes en la base de datos subyacente
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/10/2020

Vulnerabilidad en el analizador ace.xmd en Bitdefender Engines (CVE-2020-8109)
Fecha de publicación:
01/10/2020
Idioma:
Español
Se ha detectado una vulnerabilidad en el analizador ace.xmd que resulta de una falta de comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una escritura más allá del final de un búfer asignado. Esto puede resultar en una denegación de servicio. Este problema afecta a: Bitdefender Engines versiones 7.84892 y versiones anteriores
Gravedad CVSS v3.1: ALTA
Última modificación:
14/10/2020

Vulnerabilidad en actualización de Crowd a través de la transferencia de datos XML puede reactivar un usuario discapacitado de OpenLDAP (CVE-2019-20902)
Fecha de publicación:
01/10/2020
Idioma:
Español
La actualización de Crowd a través de la transferencia de datos XML puede reactivar un usuario discapacitado de OpenLDAP. Las versiones afectadas son de antes de la versión 3.4.6 y de la versión 3.5.0 anterior a la 3.5.1
Gravedad CVSS v3.1: ALTA
Última modificación:
14/10/2020

Vulnerabilidad en la funcionalidad hyperlinks en atlaskit/editor-core (CVE-2019-20903)
Fecha de publicación:
01/10/2020
Idioma:
Español
La funcionalidad hyperlinks en atlaskit/editor-core versiones anteriores a 113.1.5, permite a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) en los objetivos del enlace
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2020-26159
Fecha de publicación:
30/09/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades