Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la página de descarga /sysworkflow/en/neoclassic/reportTables/reportTables_Ajax en el parámetro sort en ProcessMaker (CVE-2020-13525)
Fecha de publicación:
03/12/2020
Idioma:
Español
El parámetro sort en la página de descarga /sysworkflow/en/neoclassic/reportTables/reportTables_Ajax, es vulnerable a una inyección SQL en ProcessMaker versión 3.4.11. Una petición HTTP especialmente diseñada puede causar una inyección SQL. Un atacante puede realizar una petición HTTP autenticada para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en Wise Care (CVE-2020-23726)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se presenta una vulnerabilidad local de denegación de servicio en Wise Care versión 365 5.5.4, los atacantes pueden causar un bloqueo del ordenador (BSOD)
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en cargas útiles JSON en API Play Java de Play Framework (CVE-2020-28923)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se detectó un problema en Play Framework versiones 2.8.0 hasta 2.8.4. Las cargas útiles JSON cuidadosamente diseñadas enviadas como un campo de formulario conllevan a una Amplificación de Datos. Esto afecta a usuarios que migran desde una versión de Play anterior a 2.8.0, que usaba la API Play Java para serializar clases con campos protegidos o privados para JSON
Gravedad CVSS v3.1: BAJA
Última modificación:
07/12/2020

Vulnerabilidad en un archivo PDF en el programa "pdftohtml" en Poppler (CVE-2020-27778)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en Poppler en la manera en que determinados archivos PDF se convertían a HTML. Un atacante remoto podría explotar este fallo proporcionando un archivo PDF malicioso que, cuando se procesaba por el programa "pdftohtml", bloquearía la aplicación y provocaría una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
28/09/2022

Vulnerabilidad en el archivo /MagickCore/statistic.c en la función ApplyEvaluateOperator() en ImageMagick (CVE-2020-27764)
Fecha de publicación:
03/12/2020
Idioma:
Español
En el archivo /MagickCore/statistic.c, presenta varias áreas en la función ApplyEvaluateOperator() donde una conversión size_t debería haber sido una conversión ssize_t, lo que causa valores fuera de rango bajo algunas circunstancias cuando ImageMagick procesa un archivo de entrada diseñado. Red Hat Product Security marcó esto como de gravedad baja porque, aunque podría generar un impacto en la disponibilidad de la aplicación, ningún impacto específico fue mostrado en este caso. Este fallo afecta a las versiones de ImageMagick versiones anteriores a 6.9.10-69
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2023

Vulnerabilidad en el sensor en NETSCOUT AirMagnet Enterprise (CVE-2020-28251)
Fecha de publicación:
03/12/2020
Idioma:
Español
NETSCOUT AirMagnet Enterprise versión 11.1.4 build 37257 y anteriores, presenta una vulnerabilidad de escalada de privilegios del sensor que puede ser explotada para proporcionar a alguien acceso administrativo hacia un sensor, con credenciales para invocar un comando para proporcionar acceso root al sistema operativo. El atacante debe completar un ejercicio de descifrado de contraseñas sencillo
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el analizador del módulo de limpieza de python-lxml (CVE-2020-27783)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se detectó una vulnerabilidad de tipo XSS en el módulo de limpieza de python-lxml. El analizador del módulo no imitaba apropiadamente los navegadores, lo que causaba comportamientos diferentes entre el sanitizador y la página del usuario. Un atacante remoto podría explotar este fallo para ejecutar código HTML/JS arbitrario
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/12/2025

Vulnerabilidad en un archivo de entrada en la función load_pnm() en CImg (CVE-2020-25693)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en CImg en versiones anteriores a 2.9.3. Desbordamientos de enteros que conllevan a desbordamientos de búfer de la pila en la función load_pnm() pueden ser desencadenados mediante un archivo de entrada especialmente diseñado procesado por CImg, lo que puede afectar la disponibilidad de la aplicación o la integridad de los datos
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en una página web HTML en WebKitGTK (CVE-2020-13584)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se presenta una vulnerabilidad explotable de uso de la memoria previamente liberada en el navegador WebKitGTK versión 2.30.1 x64. Una página web HTML especialmente diseñada puede causar una condición de uso de la memoria previamente liberada, resultando en una ejecución de código remota. La víctima necesita visitar un sitio web malicioso para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en los permisos del sistema de archivos de la instalación de LogicalDoc (CVE-2020-13542)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios local en los permisos del sistema de archivos de la instalación de LogicalDoc versión 8.5.1. Dependiendo del vector elegido, un atacante puede reemplazar el binario del servicio o reemplazar los archivos DLL cargados por el servicio, ambos ejecutados por un servicio ejecutando así comandos arbitrarios con privilegios System
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en una página web en la funcionalidad WebSocket de Webkit WebKitGTK (CVE-2020-13543)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de ejecución de código en la funcionalidad WebSocket de Webkit WebKitGTK versión 2.30.0. Una página web especialmente diseñada puede desencadenar una vulnerabilidad de uso de la memoria previamente liberada que puede conllevar a una ejecución de código remota. Un atacante puede lograr que un usuario visite una página web para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
10/05/2022

Vulnerabilidad en el subsistema perf en el kernel de Linux (CVE-2020-14351)
Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en el kernel de Linux. Se encontró un fallo de uso de la memoria previamente liberada en el subsistema perf que permitía a un atacante local con permiso para monitorear eventos de desempeño para corromper la memoria y posiblemente escalar privilegios. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2021
Suscribirse a Vulnerabilidades