Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un componente Network Licensing Protocol basado en Java RMI en SmartBear ReadyAPI SoapUI Pro (CVE-2020-12835)
Fecha de publicación:
20/05/2020
Idioma:
Español
Se detectó un problema en SmartBear ReadyAPI SoapUI Pro versión 3.2.5. Debido al uso no seguro de un protocolo basado en Java RMI en una configuración no segura, un atacante puede inyectar objetos serializados maliciosos en la comunicación, resultando en una ejecución de código remota en el contexto de un componente Network Licensing Protocol del lado del cliente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en un archivo de lista de reproducción multimedia M3U en Amarok (CVE-2020-13152)
Fecha de publicación:
20/05/2020
Idioma:
Español
Un usuario remoto puede crear un archivo M3U especialmente diseñado, un archivo de lista de reproducción multimedia que cuando es cargado por el usuario objetivo, desencadenará una perdida de memoria, en el que Amarok versión 2.8.0 continuará desperdiciando recursos a lo largo del tiempo, permitiendo eventualmente a los atacantes causar una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2022

Vulnerabilidad en las peticiones de id_token en IBM Security Access Manager Appliance (CVE-2020-4461)
Fecha de publicación:
20/05/2020
Idioma:
Español
El IBM Security Access Manager Appliance versión 9.0.7.1, podría permitir a un usuario autentificado omitir la seguridad al permitir una manipulación de las peticiones de id_token sin verificación. IBM X-Force ID: 181481.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el acceso de red en un nodo Publisher en WSO2 API Manager (CVE-2020-13226)
Fecha de publicación:
20/05/2020
Idioma:
Español
El WSO2 API Manager versión 3.0.0, no restringe apropiadamente el acceso de red fuera del límite de un nodo Publisher, abriendo la posibilidad de un ataque de tipo SSRF a toda la intranet de este nodo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2020

Vulnerabilidad en vectores no especificados en Paid Memberships (CVE-2020-5579)
Fecha de publicación:
20/05/2020
Idioma:
Español
Una vulnerabilidad de inyección SQL en el Paid Memberships versiones anteriores a 2.3.3, permite a atacantes con derechos de administrador ejecutar comandos SQL arbitrarios por medio de vectores no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2021

Vulnerabilidad en vectores no especificados en Video Insight VMS (CVE-2019-5997)
Fecha de publicación:
20/05/2020
Idioma:
Español
Video Insight VMS versión 7.5 y anteriores, permite a atacantes remotos conducir ataques de inyección de código por medio de vectores no especificados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/07/2023

Vulnerabilidad en las descargas de archivos en la asignación de un almacenamiento de memoria por parte del motor en PHP (CVE-2019-11048)
Fecha de publicación:
20/05/2020
Idioma:
Español
En PHP versiones 7.2.x por debajo de 7.2.31, versiones 7.3.x por debajo de 7.3.18 y 7.4.x por debajo de 7.4.6, cuando son permitidas las descargas de archivos HTTP, el suministro de nombres de archivo o de campo demasiado largos podría conllevar al motor PHP a intentar asignar un almacenamiento de memoria sobredimensionado, alcanzar el límite de memoria y detener el procesamiento de la petición, sin limpiar los archivos temporales creados por la petición de descarga. Esto podría conllevar a la acumulación de archivos temporales sin limpiar que agotan el espacio de disco en el servidor de destino.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el campo Edit User Instructions del widget User Instructions en phpIPAM (CVE-2020-13225)
Fecha de publicación:
20/05/2020
Idioma:
Español
phpIPAM versión 1.4, contiene una vulnerabilidad de tipo cross site scripting (XSS) almacenado en el campo Edit User Instructions del widget User Instructions.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2020

Vulnerabilidad en el instalador de Flash en Whale Browser Installer (CVE-2020-9753)
Fecha de publicación:
20/05/2020
Idioma:
Español
Whale Browser Installer versión 1.2.0.5, no soportan la verificación de firmas para el instalador de Flash.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2020

Vulnerabilidad en diversos productos que usan EDS Subsystem en Rockwell Automation (CVE-2020-12034)
Fecha de publicación:
20/05/2020
Idioma:
Español
Productos que usan EDS Subsystem: versión 28.0.1 y anteriores (software FactoryTalk Linx (anteriormente llamado RSLinx Enterprise): versiones 6.00, 6.10 y 6.11, RSLinx Classic: versión 4.11.00 y anteriores, software RSNetWorx: versión 28.00.00 y anteriores, software Studio 5000 Logix Designer: versión 32 y anteriores) son vulnerables. El EDS Subsystem no proporciona un saneamiento de entrada adecuado, lo que puede permitir a un atacante diseñar archivos EDS especializados para inyectar consultas SQL y manipular la base de datos que almacena los archivos EDS. Esto puede conllevar a condiciones de denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2020

Vulnerabilidad en el componente RMC de HPE Superdome Flex (CVE-2020-7137)
Fecha de publicación:
19/05/2020
Idioma:
Español
Un problema de comprobación en el componente RMC de HPE Superdome Flex, puede permitir una elevación local de privilegios. Aplique HPE Superdome Flex Server versiones 3.25.46 o superiores para resolver este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2020

Vulnerabilidad en HPE Nimble Storage en NimbleOS (CVE-2020-7138)
Fecha de publicación:
19/05/2020
Idioma:
Español
Se han identificado potenciales vulnerabilidades de seguridad en la ejecución de código remota con los sistemas HPE Nimble Storage que podrían ser explotadas por un atacante para alcanzar privilegios elevados en la matriz. Las siguientes versiones de NimbleOS, y todas las posteriores, contienen una corrección de software para esta vulnerabilidad: 3.9.3.0 4.5.6.0 5.0.9.0 5.1.4.100
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades