Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la API de Google Web Toolkit (GWT) en la clase UpdateMemento en SmartBear Collaborator Server (CVE-2020-26118)
Fecha de publicación:
11/01/2021
Idioma:
Español
En SmartBear Collaborator Server versiones hasta 13.3.13302, el uso de la API de Google Web Toolkit (GWT) introduce una vulnerabilidad de deserialización de Java post-autenticación. La clase UpdateMemento de la aplicación acepta un objeto Java serializado directamente del usuario sin sanear apropiadamente. Se puede enviar un objeto malicioso al servidor por medio de un atacante autenticado para ejecutar comandos en el sistema subyacente
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el modo de árbol de jsoneditor (CVE-2020-23849)
Fecha de publicación:
11/01/2021
Idioma:
Español
Una vulnerabilidad de tipo XSS almacenado se detectó en el modo de árbol de jsoneditor versiones anteriores a 9.0.2, mediante una inyección y una ejecución de JavaScript
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2021

Vulnerabilidad en index.php/Wechat/checkWeixin?signature=1&echostr={XSS] en el archivo Home/c/WechatController.php en JIZHICMS (CVE-2020-23643)
Fecha de publicación:
11/01/2021
Idioma:
Español
Una vulnerabilidad de tipo XSS se presenta en JIZHICMS versión 1.7.1 por medio de index.php/Wechat/checkWeixin?signature=1&echostr={XSS] en el archivo Home/c/WechatController.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2021

Vulnerabilidad en index.php/Error/index?Msg={XSS] en el archivo Inicio/c/ErrorController.php en JIZHICMS (CVE-2020-23644)
Fecha de publicación:
11/01/2021
Idioma:
Español
Una vulnerabilidad de tipo XSS se presenta en JIZHICMS versión 1.7.1 por medio de index.php/Error/index?Msg={XSS] en el archivo Inicio/c/ErrorController.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2021

Vulnerabilidad en un archivo config.json el cliente Aleth Ethereum C++ (CVE-2020-26800)
Fecha de publicación:
11/01/2021
Idioma:
Español
Una vulnerabilidad de desbordamiento de la pila en el cliente Aleth Ethereum C++ versiones anteriores a 1.8.0, usando un archivo config.json especialmente diseñado puede resultar en una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2021

Vulnerabilidad en la interfaz de la API en Apache DolphinScheduler (CVE-2020-13922)
Fecha de publicación:
11/01/2021
Idioma:
Español
Las versiones de Apache DolphinScheduler anteriores a 1.3.2, permitían a un usuario normal bajo cualquier inquilino anular la contraseña de otro usuario por medio de la interfaz de la API
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Hessian2 en Apache Dubbo (CVE-2020-11995)
Fecha de publicación:
11/01/2021
Idioma:
Español
Se detectó vulnerabilidad de deserialización en dubbo versiones 2.7.5 y anteriores, que podría conllevar a una ejecución de código malicioso. La mayoría de usuarios de Dubbo usan Hessian2 como el protocolo de serialización y deserialización predeterminado, mientras Hessian2 deserializa el objeto HashMap, algunas funciones en el almacenado de clases en HasMap serán ejecutadas después de una serie de llamadas al programa, sin embargo, esas funciones especiales pueden causar una ejecución remota de comandos. Por ejemplo, la función hashCode() de la clase EqualsBean en rome-1.7.0.jar hará que las clases maliciosas cargen remotamente y ejecuten código malicioso al construir una petición maliciosa. Este problema fue corregido en Apache Dubbo versiones 2.6.9 y 2.7.8
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/01/2021

Vulnerabilidad en la opción de caché negativa de Apache Traffic Server (CVE-2020-17509)
Fecha de publicación:
11/01/2021
Idioma:
Español
La opción de caché negativa de Apache Traffic Server es vulnerable a un ataque de envenenamiento de caché afectando a versiones 6.0.0 hasta 6.2.3, versiones 7.0.0 hasta 7.1.10 y versiones 8.0.0 hasta 8.0.7. Si posee esta opción habilitada, actualice o deshabilite esta función
Gravedad CVSS v3.1: ALTA
Última modificación:
15/01/2021

Vulnerabilidad en el plugin ESI en Apache Traffic Server (CVE-2020-17508)
Fecha de publicación:
11/01/2021
Idioma:
Español
El plugin ESI en Apache Traffic Server versiones 6.0.0 hasta 6.2.3, versiones 7.0.0 hasta 7.1.11 y versiones 8.0.0 hasta 8.1.0, presenta una vulnerabilidad de divulgación de la memoria. Si está ejecutando el plugin, favor actualice a versión 7.1.12 o 8.1.1 o posterior
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el formulario de inicio de sesión y el formulario de contraseña olvidada en EVOLUCARE ECSIMAGING (CVE-2021-3118)
Fecha de publicación:
11/01/2021
Idioma:
Español
** NO COMPATIBLE CUANDO SE ASIGNÓ ** EVOLUCARE ECSIMAGING (también se conoce como ECS Imaging) versiones hasta 6.21.5, presenta múltiples problemas de inyección SQL en el formulario de inicio de sesión y el formulario de contraseña olvidada (tal y como /req_password_user.php?email=). Esto permite a un atacante robar datos en la base de datos y conseguir acceso a la aplicación. (El componente de la base de datos se ejecuta como root). NOTA: Esta vulnerabilidad solo afecta a los productos que no son compatibles con el mantenedor
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/08/2024

Vulnerabilidad en el archivo plugin/unmarshal/unmarshal.go en GoGo Protobuf (CVE-2021-3121)
Fecha de publicación:
11/01/2021
Idioma:
Español
Se detectó un problema en GoGo Protobuf versiones anteriores a 1.3.2. El archivo plugin/unmarshal/unmarshal.go carece de determinada comprobación de índice, también se conoce como el problema "skippy peanut butter"
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo http/proxy/auth.py en la función before_upstream_connection en AuthPlugin en proxy.py (CVE-2021-3116)
Fecha de publicación:
11/01/2021
Idioma:
Español
La función before_upstream_connection en AuthPlugin en el archivo http/proxy/auth.py en proxy.py versiones anteriores a 2.3.1, acepta datos de encabezado Proxy-Authorization incorrectos debido a una confusión booleana (y versus o)
Gravedad CVSS v3.1: ALTA
Última modificación:
15/02/2024
Suscribirse a Vulnerabilidades