Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ajax php mysql en el archivo Records.php en el parámetro search para phpzag live (CVE-2020-8519)
Fecha de publicación:
07/07/2020
Idioma:
Español
Una inyección SQL con el parámetro search del archivo Records.php para phpzag live agregar editar eliminar registros de tablas de datos con ajax php mysql
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2020

Vulnerabilidad en ajax php mysql en el archivo Records.php en los parámetros order y column para phpzag live (CVE-2020-8520)
Fecha de publicación:
07/07/2020
Idioma:
Español
Una inyección SQL en los parámetros order y column del archivo Records.php para phpzag live agregar editar eliminar registros de tablas de datos con ajax php mysql
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2020

Vulnerabilidad en creación de un usuario local (no SSO) en los entornos Code42 con servidor local (CVE-2020-12736)
Fecha de publicación:
07/07/2020
Idioma:
Español
Los entornos Code42 con servidor local versiones 7.0.4 y anteriores, permiten una posible ejecución de código remota. Cuando un administrador crea un usuario local (no SSO) por medio de un correo electrónico generado por Code42, el administrador posee la opción de modificar el contenido de la invitación por correo electrónico. Si el administrador ingresó el código de idioma de la plantilla en la línea del asunto, ese código podría ser interpretado por los servicios de generación de correo electrónico, lo que podría resultar en una inyección de código del lado del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en archivos de registro en la CLI npm (CVE-2020-15095)
Fecha de publicación:
07/07/2020
Idioma:
Español
Las versiones de la CLI npm anteriores a 6.14.6, son susceptibles a una vulnerabilidad de exposición de información por medio de archivos de registro. La CLI admite las URL como "://[[:]@][:][:][/]". El valor de la contraseña no es redactada y se imprime en stdout y también en cualquier archivo de registro generado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el parámetro messageFrom, gameID, opponent, messageID o to en WebChess (CVE-2019-20896)
Fecha de publicación:
07/07/2020
Idioma:
Español
WebChess versión 1.0, permite una inyección SQL por medio del parámetro messageFrom, gameID, opponent, messageID o to
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2020

Vulnerabilidad en las funciones de decodificación base64_decode() y base64_estimate_decode_size() en el decodificador base64 en RIOT (CVE-2020-15350)
Fecha de publicación:
07/07/2020
Idioma:
Español
RIOT versión 2020.04, presenta un desbordamiento del búfer en el decodificador base64. La función de decodificación base64_decode() usa una función de estimación del búfer de salida para calcular la capacidad de búfer requerida y comprobarla con el tamaño del búfer proporcionado. La función base64_estimate_decode_size() calcula el tamaño descodificado esperado con un error de redondeo aritmético y no toma en cuenta los posibles bytes de relleno. Debido a esta subestimación, puede ser posible crear una entrada base64 que cause un desbordamiento del búfer
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en la extensión turn para TYPO3 (CVE-2020-15515)
Fecha de publicación:
07/07/2020
Idioma:
Español
La extensión turn versiones hasta 0.3.2, para TYPO3 permite una ejecución de código remota
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en canvasm.myo2.SplashActivity en la aplicación O2 Business para Android (CVE-2020-11882)
Fecha de publicación:
07/07/2020
Idioma:
Español
La aplicación O2 Business versión 1.2.0 para Android, expone la actividad de canvasm.myo2.SplashActivity a otras aplicaciones. El propósito de esta actividad es manejar deeplinks que pueden ser entregados por medio de enlaces o llamando directamente la actividad. Sin embargo, el formato deeplink no está comprobado apropiadamente. Un atacante puede abusar de esto para redireccionar a un usuario a cualquier página y entregar cualquier contenido al usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2020

Vulnerabilidad en el archivo Monitoring-Map.php en el parámetro hde en NeDi (CVE-2020-15035)
Fecha de publicación:
07/07/2020
Idioma:
Español
NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting (XSS). La aplicación permite a un atacante ejecutar código JavaScript arbitrario por medio del parámetro hde del archivo Monitoring-Map.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2020

Vulnerabilidad en el archivo Monitoring-Setup.php del parámetro tet en NeDi (CVE-2020-15034)
Fecha de publicación:
07/07/2020
Idioma:
Español
NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting (XSS). La aplicación permite a un atacante ejecutar código JavaScript arbitrario por medio del parámetro tet del archivo Monitoring-Setup.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2020

Vulnerabilidad en el archivo snmpget.php en el parámetro ip en NeDi (CVE-2020-15033)
Fecha de publicación:
07/07/2020
Idioma:
Español
NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting (XSS). La aplicación permite un atacante ejecutar código JavaScript arbitrario por medio del parámetro ip del archivo snmpget.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2020

Vulnerabilidad en el archivo Monitoring-Incidents.php en el parámetro id en NeDi (CVE-2020-15032)
Fecha de publicación:
07/07/2020
Idioma:
Español
NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting (XSS). La aplicación permite a un atacante ejecutar código JavaScript arbitrario por medio del parámetro id del archivo Monitoring-Incidents.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2020
Suscribirse a Vulnerabilidades