Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en FasterXML Jackson Databind (CVE-2020-25649)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en FasterXML Jackson Databind, donde no tenía la expansión de entidad asegurada apropiadamente. Este fallo permite una vulnerabilidad a ataques de tipo XML external entity (XXE). La mayor amenaza de esta vulnerabilidad es la integridad de los datos
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo /MagickCore/quantize.c en la función IntensityCompare() en ImageMagick (CVE-2020-27759)
Fecha de publicación:
03/12/2020
Idioma:
Español
En la función IntensityCompare() del archivo /MagickCore/quantize.c, un valor doble se convertía en int y era devuelto, lo que en algunos casos provocaba que se devolviera un valor fuera del rango de tipo "int". El fallo podría ser desencadenado por un archivo de entrada diseñado bajo determinadas condiciones cuando lo procesa ImageMagick. Red Hat Product Security marcó esto como de gravedad baja porque, aunque podría generar un impacto en la disponibilidad de la aplicación, no se mostró un impacto específico en este caso. Este fallo afecta a ImageMagick versiones anteriores a 7.0.8-68
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2023

Vulnerabilidad en el archivo /MagickCore/enhance.c la función "GammaImage()" en ImageMagick (CVE-2020-27760)
Fecha de publicación:
03/12/2020
Idioma:
Español
En la función "GammaImage()" del archivo /MagickCore/enhance.c, dependiendo del valor de "gamma", es posible activar una condición de división por cero cuando ImageMagick procesa un archivo de entrada diseñado. Esto podría tener un impacto en la disponibilidad de la aplicación. El parche utiliza la función "PerceptibleReciprocal()" para evitar que ocurra la división por cero. Este fallo afecta a ImageMagick versiones anteriores a 7.0.8-68
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2023

Vulnerabilidad en el archivo /coders/palm.c en la función WritePALMImage() en ImageMagick (CVE-2020-27761)
Fecha de publicación:
03/12/2020
Idioma:
Español
La función WritePALMImage() en el archivo /coders/palm.c usó conversiones size_t en varias áreas de un cálculo que podría conllevar a valores fuera del rango de comportamiento indefinido de tipo representable "unsigned long" cuando un archivo de entrada diseñado era procesado por ImageMagick. En su lugar, el parche se convierte en "ssize_t" para evitar este problema. La seguridad de productos de Red Hat marcó la gravedad como baja porque, aunque podría generar un impacto en la disponibilidad de la aplicación, no se mostró un impacto específico en este caso. Este fallo afecta a ImageMagick versiones anteriores a 7.0.9-0
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2023

Vulnerabilidad en el archivo coders/hdr.c en ImageMagick (CVE-2020-27762)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en ImageMagick en el archivo coders/hdr.c. Un atacante que envía un archivo diseñado que es procesado por ImageMagick podría desencadenar un comportamiento indefinido en la forma de valores fuera de rango de tipo "unsigned char". Lo más probable es que esto afecte la disponibilidad de la aplicación, pero podría causar potencialmente otros problemas relacionados con el comportamiento indefinido. Este fallo afecta a ImageMagick versiones anteriores a 7.0.8-68
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2023

Vulnerabilidad en el archivo MagickCore/resize.c en ImageMagick (CVE-2020-27763)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en ImageMagick en el archivo MagickCore/resize.c. Un atacante que envía un archivo diseñado que es procesado por ImageMagick podría desencadenar un comportamiento indefinido en forma de división matemática por cero. Lo más probable es que esto afecte la disponibilidad de la aplicación, pero podría causar otros problemas relacionados con el comportamiento indefinido. Este fallo afecta a ImageMagick versiones anteriores a 7.0.8-68
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2023

Vulnerabilidad en el programa construido en Saibo Cyber Game Accelerator (CVE-2020-23735)
Fecha de publicación:
03/12/2020
Idioma:
Español
En Saibo Cyber Game Accelerator versión 3.7.9, se presenta una vulnerabilidad de escalada de privilegios local. Los atacantes pueden usar el programa construido para incrementar los privilegios del usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la API REST de infinispan (CVE-2020-25711)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en la API REST de infinispan versión 10, donde los permisos de autorización no son comprobados mientras se llevan a cabo algunas operaciones de administración del servidor. Cuando authz está habilitada, cualquier usuario con autenticación puede realizar operaciones como apagar el servidor sin el rol de ADMIN
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/11/2022

Vulnerabilidad en procesamiento de rutas de referencia de archivos USD en Pixar OpenUSD (CVE-2020-13531)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de uso de la memoria previamente liberada en la manera en que Pixar OpenUSD versión 20.08, procesa rutas de referencia de archivos USD textuales. Un archivo especialmente diseñado puede desencadenar la reutilización de una memoria liberada, lo que puede resultar en una mayor corrupción de la memoria y una ejecución de código arbitraria. Para desencadenar esta vulnerabilidad, la víctima necesita abrir un archivo malformado proporcionado por el atacante
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en Jenkins Shelve Project Plugin (CVE-2020-2321)
Fecha de publicación:
03/12/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Shelve Project Plugin versiones 3.0 y anteriores, permite a atacantes archivar, retirar o eliminar un proyecto
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2023

Vulnerabilidad en la biblioteca lib/Check.php en OpenClinic (CVE-2020-28938)
Fecha de publicación:
03/12/2020
Idioma:
Español
OpenClinic versión 0.8.2, está afectada por una vulnerabilidad de tipo XSS almacenado en la biblioteca lib/Check.php que permite a usuarios de la aplicación forzar acciones en nombre de otros usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/12/2020

Vulnerabilidad en el archivo medical/test_new.php en el servidor de aplicaciones en OpenClinic (CVE-2020-28939)
Fecha de publicación:
03/12/2020
Idioma:
Español
OpenClinic versión 0.8.2, está afectada por una vulnerabilidad de carga de archivos no segura en el archivo medical/test_new.php. Esta vulnerabilidad permite a usuarios autenticados (con privilegios sustanciales) cargar archivos maliciosos, como shells web PHP, que pueden conllevar a una ejecución de código arbitraria en el servidor de aplicaciones
Gravedad CVSS v3.1: ALTA
Última modificación:
07/12/2020
Suscribirse a Vulnerabilidades