Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el proceso EA-HTTP.exe en los paneles de control de la pantalla táctil C-MORE HMI EA9 (CVE-2020-10922)
Fecha de publicación:
23/07/2020
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de los paneles de control de la pantalla táctil C-MORE HMI EA9 versión de Firmware 6.52. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro del proceso EA-HTTP.exe. El problema resulta de la falta de una comprobación de entrada apropiada antes de procesar las peticiones de los usuarios. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Fue ZDI-CAN-10527
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2020

Vulnerabilidad en la Interfaz de Usuario Web en IBM FileNet Content Manager (CVE-2020-4447)
Fecha de publicación:
23/07/2020
Idioma:
Español
IBM FileNet Content Manager versiones 5.5.3 y 5.5.4, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 181227
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/07/2020

Vulnerabilidad en el manejo de contraseñas en los paneles de control de la pantalla táctil C-MORE HMI EA9 (CVE-2020-10919)
Fecha de publicación:
23/07/2020
Idioma:
Español
Esta vulnerabilidad permite a los atacantes remotos revelar información sensible en las instalaciones afectadas de los paneles de pantalla táctil C-MORE HMI EA9 Firmware versión 6.52. La autenticación no es necesaria para explotar esta vulnerabilidad. El fallo específico existe en el manejo de las contraseñas. Al transmitir las contraseñas, el proceso las encripta en un formato recuperable. Un atacante puede aprovechar esta vulnerabilidad para revelar las credenciales, lo que llevaría a un mayor compromiso. Era ZDI-CAN-10185
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/09/2022

Vulnerabilidad en el acceso a una tarjeta de acceso legítima y el NFC Relay en los vehículos Tesla Model 3 (CVE-2020-15912)
Fecha de publicación:
23/07/2020
Idioma:
Español
**EN DISPUTA** Los vehículos Tesla Model 3, permiten a atacantes abrir una puerta al aprovechar el acceso a una tarjeta de acceso legítima y luego usar el NFC Relay. NOTA: el proveedor ha desarrollado Pin2Drive para mitigar este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2024

Vulnerabilidad en los mensajes de error en AzureFile y CephFS en kube-controller-manager (CVE-2019-11252)
Fecha de publicación:
23/07/2020
Idioma:
Español
El Kubernetes kube-controller-manager en versiones v1.0-v1.17, es vulnerable a una filtración de credenciales por medio de mensajes de error en registros de fallo de montaje y eventos para volúmenes de AzureFile y CephFS
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/07/2020

Vulnerabilidad en httpRpmFs en la WebCLI en Wind River VxWorks (CVE-2020-11440)
Fecha de publicación:
23/07/2020
Idioma:
Español
httpRpmFs en WebCLI en Wind River VxWorks versiones 5.5 hasta 7 SR0640, no comprueba si se presenta un escape de la web root
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en manager/delete_machine/{id} en MunkiReport (CVE-2020-15882)
Fecha de publicación:
23/07/2020
Idioma:
Español
Un problema de tipo CSRF en manager/delete_machine/{id} en MunkiReport versiones anteriores a 5.6.3, permite a atacantes eliminar máquinas arbitrarias de la base de datos de MunkiReport
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2020

Vulnerabilidad en el módulo comment para MunkiReport (CVE-2020-15885)
Fecha de publicación:
23/07/2020
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el módulo comment versiones anteriores a 4.0 para MunkiReport, permite a atacantes remotos inyectar script web o HTML arbitrario al publicar un nuevo comentario
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/07/2020

Vulnerabilidad en el archivo TableQuery.php en el campo order[0][dir] en /datatables/data en MunkiReport (CVE-2020-15884)
Fecha de publicación:
23/07/2020
Idioma:
Español
Una vulnerabilidad de inyección SQL en el archivo TableQuery.php en MunkiReport versiones anteriores a 5.6.3, permite a atacantes ejecutar comandos SQL arbitrarios por medio del campo order[0][dir] en peticiones POST para /datatables/data
Gravedad CVSS v3.1: ALTA
Última modificación:
27/07/2020

Vulnerabilidad en el último parámetro URL en el archivo softwareupdate_controller.php en el endpoint /module/softwareupdate/get_tab_data/ en el módulo Software Update para MunkiReport (CVE-2020-15887)
Fecha de publicación:
23/07/2020
Idioma:
Español
Una vulnerabilidad de inyección SQL en el archivo softwareupdate_controller.php en el módulo Software Update versiones anteriores a 1.6 para MunkiReport, permite a atacantes ejecutar comandos SQL arbitrarios por medio del último parámetro URL del endpoint /module/softwareupdate/get_tab_data/
Gravedad CVSS v3.1: ALTA
Última modificación:
01/09/2020

Vulnerabilidad en el parámetro req en el archivo reportdata_controller.php en el endpoint /module/reportdata/ip en el módulo reportdata para MunkiReport (CVE-2020-15886)
Fecha de publicación:
23/07/2020
Idioma:
Español
Una vulnerabilidad de inyección SQL en el archivo reportdata_controller.php en el módulo reportdata versiones anteriores a 3.5 para MunkiReport, permite a atacantes ejecutar comandos SQL arbitrarios por medio del parámetro req del endpoint /module/reportdata/ip
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el nombre de la clave en el módulo munki_facts para MunkiReport (CVE-2020-15881)
Fecha de publicación:
23/07/2020
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el módulo munki_facts (también se conoce como Munki Conditions) versiones anteriores a 1.5 para MunkiReport, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del nombre de la clave
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/09/2020
Suscribirse a Vulnerabilidades