Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kses_remove_filters en el mecanismo de protección de XSS en el plugin WPBakery de WordPress (CVE-2020-28650)
Fecha de publicación:
16/11/2020
Idioma:
Español
El plugin WPBakery versiones anteriores a 6.4.1 para WordPress, permite un ataque de tipo XSS, porque llama a kses_remove_filters para deshabilitar el mecanismo de protección de XSS de WordPress estándar para los roles de Autor y Colaborador
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/11/2020

Vulnerabilidad en la función orbisius_ctc_theme_editor_manage_file en el plugin orbisius-child-theme-creator para WordPress (CVE-2020-28649)
Fecha de publicación:
16/11/2020
Idioma:
Español
El plugin orbisius-child-theme-creator versiones anteriores a 1.5.2 para WordPress, permite un ataque de tipo CSRF por medio de la función orbisius_ctc_theme_editor_manage_file
Gravedad CVSS v3.1: ALTA
Última modificación:
27/11/2020

Vulnerabilidad en un archivo metainfo en la funcionalidad de actualización del sistema Discover Media infotainment en los vehículos Volkswagen Polo 2019 (CVE-2020-28656)
Fecha de publicación:
16/11/2020
Idioma:
Español
La funcionalidad de actualización del sistema Discover Media infotainment en los vehículos Volkswagen Polo 2019, permite a atacantes cercanos físicamente ejecutar código arbitrario porque algunas partes no firmadas de un archivo metainfo son analizadas, lo que puede causar que los archivos controlados por un atacante sean escritos en el sistema infotainment y ejecutados como root
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/12/2020

Vulnerabilidad en el componente Auto-Discovery de Nagios XI (CVE-2020-28648)
Fecha de publicación:
16/11/2020
Idioma:
Español
Una comprobación inapropiada de entrada en el componente Auto-Discovery de Nagios XI versiones anteriores a 5.7.5, permite a un atacante autenticado ejecutar código remoto
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2022

Vulnerabilidad en la función resetPasswordSendMail en InfiniteWP Admin Panel (CVE-2020-28642)
Fecha de publicación:
16/11/2020
Idioma:
Español
En InfiniteWP Admin Panel versiones anteriores a 3.1.12.3, la función resetPasswordSendMail genera un código de restablecimiento de contraseña débil, lo que facilita a atacantes remotos conducir ataques de Toma de Control de Cuenta de administrador
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/11/2020

Vulnerabilidad en Citrix SD-WAN Center (CVE-2020-8271)
Fecha de publicación:
16/11/2020
Idioma:
Español
Una ejecución de código remota no autenticada con privilegios root en Citrix SD-WAN Center versiones anteriores a 11.2.2, 11.1.2b y 10.2.8
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/11/2020

Vulnerabilidad en Citrix SD-WAN center (CVE-2020-8273)
Fecha de publicación:
16/11/2020
Idioma:
Español
Una escalada de privilegios de un usuario autenticado a root en Citrix SD-WAN center, versiones anteriores a 11.2.2, 11.1.2b y 10.2.8
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2020

Vulnerabilidad en la funcionalidad SD-WAN en Citrix SD-WAN Center (CVE-2020-8272)
Fecha de publicación:
16/11/2020
Idioma:
Español
Una Omisión de Autenticación resultando en una exposición de la funcionalidad SD-WAN en Citrix SD-WAN Center versiones anteriores a 11.2.2, 11.1.2b y 10.2.8
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2020

Vulnerabilidad en QNAP Systems Inc (CVE-2020-2492)
Fecha de publicación:
16/11/2020
Idioma:
Español
Si se explotaba, la vulnerabilidad de inyección de comandos podría permitir que atacantes remotos ejecutar comandos arbitrarios. Este problema afecta a: QNAP Systems Inc. QTS versiones anteriores a 4.4.3.1421 en build 20200907
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2020

Vulnerabilidad en un usuario Windows en el VDA en CVAD (CVE-2020-8269)
Fecha de publicación:
16/11/2020
Idioma:
Español
Un usuario de Windows no privilegiado en el VDA puede llevar a cabo una ejecución de comandos arbitrarios como SYSTEM en CVAD versiones anteriores a 2009, versión 1912 LTSR CU1 hotfixes CTX285870 y CTX286120, versión 7.15 LTSR CU6 hotfix CTX285344 y versión 7.6 LTSR CU9
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2020

Vulnerabilidad en un usuario Windows o SMB en el VDA en CVAD (CVE-2020-8270)
Fecha de publicación:
16/11/2020
Idioma:
Español
Un usuario de Windows no privilegiado en el VDA o un usuario SMB puede llevar a cabo una ejecución de comandos arbitrarios como SYSTEM en CVAD versiones anteriores al 2009, versión 1912 LTSR CU1 hotfixes CTX285871 y CTX285872, versión 7.15 LTSR CU6 hotfix CTX285341 y CTX285342
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2020

Vulnerabilidad en un paquete HTTP en MELSEC iQ-R Series CPU Modules (CVE-2020-5666)
Fecha de publicación:
16/11/2020
Idioma:
Español
Una vulnerabilidad de consumo de recursos no controlado en MELSEC iQ-R Series CPU Modules (R00/01/02CPU Firmware versiones desde "05" hasta "19" y R04/08/16/32/120(EN)CPU Firmware versiones desde "35" hasta "51"), permite a un atacante remoto causar un error en una unidad de CPU por medio de un paquete HTTP especialmente diseñado, lo que puede conllevar a una condición de denegación de servicio (DoS) en la ejecución del programa y su comunicación
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2020
Suscribirse a Vulnerabilidades