Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el parámetro "shop" en el endpoint "/shopify/auth/enable_cookies" en koa-shopify-auth (CVE-2020-8176)
Fecha de publicación:
02/07/2020
Idioma:
Español
Se presenta una vulnerabilidad de tipo cross-site scripting en koa-shopify-auth versiones v3.1.61 hasta v3.1.62, que permite a un atacante inyectar cargas útiles JS en el parámetro "shop" en el endpoint "/shopify/auth/enable_cookies"
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2020

Vulnerabilidad en Control de Acceso en Nextcloud Deck (CVE-2020-8179)
Fecha de publicación:
02/07/2020
Idioma:
Español
Un Control de Acceso Incorrecto en Nextcloud Deck versión 1.0.0, permitió a un atacante inyectar tareas en las cubiertas de otros usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2020

Vulnerabilidad en el firmware UniFi Protect para Unifi Cloud Key Gen2 Plus y UniFi Dream Machine Pro/UNVR (CVE-2020-8188)
Fecha de publicación:
02/07/2020
Idioma:
Español
Recientemente hemos publicado una nueva versión del firmware UniFi Protect versión v1.13.3 y v1.14.10 para Unifi Cloud Key Gen2 Plus y UniFi Dream Machine Pro/UNVR respectivamente, que corrige las vulnerabilidades encontradas en el firmware Protect versiones v1.13.2, v1.14.9 y anteriores, de acuerdo con la siguiente descripción: Visualiza solo usuarios que pueden ejecutar determinados comandos personalizados que les permiten asignarse a si mismos roles no autorizados y escalar sus privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2020

Vulnerabilidad en el argumento "locals" de una llamada "render" en Rails (CVE-2020-8163)
Fecha de publicación:
02/07/2020
Idioma:
Español
Se trata de una vulnerabilidad de inyección de código en versiones de Rails anteriores a 5.0.1, que permitiría a un atacante que controlara el argumento "locals" de una llamada "render" para realizar un RCE
Gravedad CVSS v3.1: ALTA
Última modificación:
24/05/2022

Vulnerabilidad en una aplicación Rails que se ejecuta en producción (CVE-2020-8185)
Fecha de publicación:
02/07/2020
Idioma:
Español
Se presenta una vulnerabilidad de denegación de servicio en Rails versiones anteriores a 6.0.3.2, que permitió a un usuario no confiable ejecutar cualquier migración pendiente en una aplicación Rails que se ejecuta en producción
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el nombre de un elemento de acceso rápido en PrestaShop (CVE-2020-11074)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.3.0 y anteriores a versión 1.7.6.6, se presenta una vulnerabilidad de tipo XSS almacenado cuando se usa el nombre de un elemento de acceso rápido. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/01/2023

Vulnerabilidad en la página Carrier, Module Manager y Module Positions en PrestaShop (CVE-2020-15079)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.0.0 y anteriores a versión 1.7.6.6, se presenta un control de acceso inapropiado en la página Carrier, Module Manager y Module Positions. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/10/2021

Vulnerabilidad en el archivo de publicación en PrestaShop (CVE-2020-15080)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.7.4.0 y anteriores a versión 1.7.6.6, algunos archivos no deberían estar en el archivo de publicación, y otros no deberían ser accesibles. El problema es corregido en versión 1.7.6.6. Una posible solución alternativa es asegurarse de que "composer.json" y "docker-compose.yml" no sean accesibles en su servidor
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/11/2021

Vulnerabilidad en el sistema de autenticación en PrestaShop (CVE-2020-4074)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.0.0 y anteriores a la versión 1.7.6.6, el sistema de autenticación es malformado y un atacante es capaz de falsificar peticiones y ejecutar comandos de administración. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/01/2023

Vulnerabilidad en proponentes de bloque en TenderMint (CVE-2020-15091)
Fecha de publicación:
02/07/2020
Idioma:
Español
TenderMint desde versión 0.33.0 y anteriores a versión 0.33.6, permite a proponentes de bloque incluir firmas para el bloque equivocado. Esto puede suceder naturalmente si inicia una red, la hace funcionar durante un tiempo y la reinicia (**without changing chainID**). Un proponente de bloque malicioso (inclusive con una cantidad mínima de participación) puede usar esta vulnerabilidad para detener completamente la red. Este problema es corregido en Tendermint versión 0.33.6, que comprueba que todas las firmas son para el bloque con una mayoría de 2/3+ antes de crear una confirmación
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2020

Vulnerabilidad en envío de un archivo corrupto en PrestaShop (CVE-2020-15083)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.7.0.0 y anteriores a versión 1.7.6.6, si un objetivo envía un archivo corrupto, esto conlleva a una vulnerabilidad de tipo XSS reflejado. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2020

Vulnerabilidad en las variables de configuración en el panel en PrestaShop (CVE-2020-15082)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.6.0.1 y anteriores a versión 1.7.6.6, el panel permite reescribir todas las variables de configuración. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2020
Suscribirse a Vulnerabilidades