Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los roles de un dispositivo BLE en COVIDSafe (CVE-2020-12860)
Fecha de publicación:
18/05/2020
Idioma:
Español
COVIDSafe versiones hasta v1.0.17, permite a un atacante remoto acceder a la información de nombre y modelo de teléfono porque un dispositivo BLE puede tener cuatro roles y COVIDSafe los usa todos. Esto permite la reidentificación de un dispositivo, y potencialmente una identificación del nombre del propietario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el método GET en client_key y device_id en la aplicación stashcat para macOS, Windows, Android, iOS, y otras plataformas (CVE-2020-13129)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema en la aplicación stashcat versiones hasta 3.9.1, para macOS, Windows, Android, iOS, y posiblemente otras plataformas. El método GET es usado con datos de client_key y device_id en la cadena de consulta, lo que permite a atacantes obtener información confidencial al leer los registros del servidor web.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2021

Vulnerabilidad en modelos de teléfonos pocos comunes en el protocolo OpenTrace/BlueTrace en COVIDSafe (CVE-2020-12859)
Fecha de publicación:
18/05/2020
Idioma:
Español
Los campos no necesarios del protocolo OpenTrace/BlueTrace en COVIDSafe versiones hasta v1.0.17, permiten a un atacante remoto identificar un modelo de dispositivo al observar los datos de una carga útil de texto sin cifrar. Esto permite una reidentificación de los dispositivos, especialmente los modelos de teléfonos pocos comunes o los que se encuentran en situaciones de baja densidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2020

Vulnerabilidad en Bluetooth en las aplicaciones TraceTogether, ABTraceTogether y otras en iOS y Android en OpenTrace en COVIDSafe (CVE-2020-12856)
Fecha de publicación:
18/05/2020
Idioma:
Español
OpenTrace, tal como es usado en COVIDSafe versiones hasta v1.0.17, TraceTogether, ABTraceTogether y otras aplicaciones en iOS y Android, permite a atacantes remotos conducir ataques de reidentificación a largo plazo y posiblemente tener otro impacto no especificado, debido en la manera en como Bluetooth es usado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2020

Vulnerabilidad en el archivo handler_server_info.c en la página About en la configuración del servidor web en Cherokee (CVE-2019-20798)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema de tipo XSS en el archivo handler_server_info.c En Cherokee versiones hasta 1.2.104. La URL requerida es mostrada inapropiadamente en la página About en la configuración predeterminada del servidor web y su panel de administrador. El ataque XSS en el panel de administrador puede ser usado para reconfigurar el servidor y ejecutar comandos arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2022

Vulnerabilidad en el trabajo de un servidor en Cherokee (CVE-2019-20799)
Fecha de publicación:
18/05/2020
Idioma:
Español
En Cherokee versiones hasta 1.2.104, múltiples errores de corrupción de memoria pueden ser usados por un atacante remoto para desestabilizar el trabajo de un servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2022

Vulnerabilidad en archivo handler_cgi.c en la función cherokee_handler_cgi_add_env_pair en una petición GET en Cherokee (CVE-2019-20800)
Fecha de publicación:
18/05/2020
Idioma:
Español
En Cherokee versiones hasta 1.2.104, atacantes remotos pueden activar una escritura fuera de límites en la función cherokee_handler_cgi_add_env_pair en el archivo handler_cgi.c al enviar muchos encabezados de petición, como es demostrado por una petición GET con muchos encabezados "Host: 127.0.0.1".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2022

Vulnerabilidad en el servidor web de transferencia de archivos y el servidor WebSocket en la aplicación Readdle Documents para iOS (CVE-2019-20801)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema en la aplicación Readdle Documents versiones anteriores a 6.9.7 para iOS. El servidor web de transferencia de archivos de aplicación permite que peticiones de tipo cross-origin desde cualquier dominio, y el servidor WebSocket carezcan de control de autorización. Cualquier sitio web puede ejecutar código JavaScript (que accede a los datos de un usuario) por medio de peticiones de tipo cross-origin.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo server/UploadServlet.java un parámetro delay en Manolo GWTUpload (CVE-2020-13128)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema en Manolo GWTUpload versión 1.0.3. El archivo server/UploadServlet.java (el servlet para manejar la carga de archivos) acepta un parámetro delay que causa que un subproceso (hilo) se suspenda. Esto puede ser abusado para causar que todos los subprocesos (hilos) de un servidor se suspendan, conllevando a una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/05/2020

Vulnerabilidad en un archivo ZIP en los nombres de directorio en el servidor web de transferencia de archivos de aplicación en la aplicación Readdle Documents para iOS (CVE-2019-20802)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema en la aplicación Readdle Documents versiones anteriores a 6.9.7 para iOS. El servidor web de transferencia de archivos de aplicación muestra inapropiadamente los nombres de directorio, conllevando a un ataque de tipo XSS Almacenado, que puede ser usado para robar los datos del usuario. Esto requiere la interacción del usuario porque no existe una forma directa conocida para un atacante crear un nombre de directorio diseñado en el dispositivo de la víctima. Sin embargo, puede presentarse un nombre de directorio diseñado si una víctima extrae un archivo ZIP que fue proporcionado por un atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2020

Vulnerabilidad en el archivo i_network.c en las funciones I_SendPacket o I_SendPacketTo en los paquetes UDP en e6y prboom-plus (CVE-2019-20797)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema en e6y prboom-plus versión 2.5.1.5. Se presenta desbordamiento del búfer en el código del cliente y del servidor responsable del manejo de los paquetes UDP recibidos, como es demostrado por las funciones I_SendPacket o I_SendPacketTo en el archivo i_network.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en sentencias SQL en los usuarios de IBM (CVE-2020-4345)
Fecha de publicación:
17/05/2020
Idioma:
Español
Los usuarios de IBM i versiones 7.2, 7.3 y 7.4, que ejecutan sentencias SQL complejas bajo un conjunto específico de circunstancias pueden permitir a un usuario local obtener información confidencial a la que no debería tener acceso. IBM X-Force ID: 178318.
Gravedad CVSS v3.1: BAJA
Última modificación:
18/05/2020
Suscribirse a Vulnerabilidades