Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el nombre de un elemento de acceso rápido en PrestaShop (CVE-2020-11074)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.3.0 y anteriores a versión 1.7.6.6, se presenta una vulnerabilidad de tipo XSS almacenado cuando se usa el nombre de un elemento de acceso rápido. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/01/2023

Vulnerabilidad en la página Carrier, Module Manager y Module Positions en PrestaShop (CVE-2020-15079)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.0.0 y anteriores a versión 1.7.6.6, se presenta un control de acceso inapropiado en la página Carrier, Module Manager y Module Positions. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/10/2021

Vulnerabilidad en el archivo de publicación en PrestaShop (CVE-2020-15080)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.7.4.0 y anteriores a versión 1.7.6.6, algunos archivos no deberían estar en el archivo de publicación, y otros no deberían ser accesibles. El problema es corregido en versión 1.7.6.6. Una posible solución alternativa es asegurarse de que "composer.json" y "docker-compose.yml" no sean accesibles en su servidor
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/11/2021

Vulnerabilidad en el sistema de autenticación en PrestaShop (CVE-2020-4074)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.0.0 y anteriores a la versión 1.7.6.6, el sistema de autenticación es malformado y un atacante es capaz de falsificar peticiones y ejecutar comandos de administración. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/01/2023

Vulnerabilidad en proponentes de bloque en TenderMint (CVE-2020-15091)
Fecha de publicación:
02/07/2020
Idioma:
Español
TenderMint desde versión 0.33.0 y anteriores a versión 0.33.6, permite a proponentes de bloque incluir firmas para el bloque equivocado. Esto puede suceder naturalmente si inicia una red, la hace funcionar durante un tiempo y la reinicia (**without changing chainID**). Un proponente de bloque malicioso (inclusive con una cantidad mínima de participación) puede usar esta vulnerabilidad para detener completamente la red. Este problema es corregido en Tendermint versión 0.33.6, que comprueba que todas las firmas son para el bloque con una mayoría de 2/3+ antes de crear una confirmación
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2020

Vulnerabilidad en envío de un archivo corrupto en PrestaShop (CVE-2020-15083)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.7.0.0 y anteriores a versión 1.7.6.6, si un objetivo envía un archivo corrupto, esto conlleva a una vulnerabilidad de tipo XSS reflejado. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2020

Vulnerabilidad en las variables de configuración en el panel en PrestaShop (CVE-2020-15082)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.6.0.1 y anteriores a versión 1.7.6.6, el panel permite reescribir todas las variables de configuración. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2020

Vulnerabilidad en el directorio de carga en el archivo index.php en PrestaShop (CVE-2020-15081)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.0.0 y anteriores a 1.7.6.6, se presenta una exposición de información en el directorio de carga. El problema es corregido en versión 1.7.6.6. Una posible que una solución alternativa es agregar un archivo index.php vacío en el directorio de carga
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2020

Vulnerabilidad en contenido copiado desde sitios web en el Froala richeditor en October (CVE-2020-4061)
Fecha de publicación:
02/07/2020
Idioma:
Español
En October desde versión 1.0.319 y anteriores a versión 1.0.467, al pegar contenido copiado desde sitios web maliciosos en el Froala richeditor podría resultar en un ataque con éxito de tipo auto-XSS. Esto ha sido corregido en versión 1.0.467
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2020

Vulnerabilidad en unas sesiones HTTPS en determinadas configuraciones en Traefik (CVE-2019-20894)
Fecha de publicación:
02/07/2020
Idioma:
Español
Traefik versiones 2.x, en determinadas configuraciones, permite a unas sesiones HTTPS continuar sin verificación mutua de TLS en una situación donde ERR_BAD_SSL_CLIENT_AUTH_CERT debería haber ocurrido
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2021

Vulnerabilidad en el nombre de la cuenta del perfil de un usuario en el componente Webmail de Zimbra Collaboration Suite (CVE-2020-13653)
Fecha de publicación:
02/07/2020
Idioma:
Español
Se presenta una vulnerabilidad de tipo XSS en el componente Webmail de Zimbra Collaboration Suite versiones anteriores a 8.8.15 Parche 11. Permite a un atacante inyectar JavaScript ejecutable en el nombre de la cuenta del perfil de un usuario. El código inyectado puede ser reflejado y ejecutado cuando se cambia una firma de correo electrónico
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2020

Vulnerabilidad en el CodePeople Payment Form para el plugin PayPal Pro para WordPress (CVE-2020-14092)
Fecha de publicación:
02/07/2020
Idioma:
Español
El CodePeople Payment Form para el plugin PayPal Pro versiones anteriores a 1.1.65 para WordPress, permite una inyección SQL
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020
Suscribirse a Vulnerabilidades