Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el demonio Varrcvr de PAN-OS de Palo Alto Networks en dispositivos PA-7000 Series con Log Forwarding Card (LFC) (CVE-2020-1992)
Fecha de publicación:
08/04/2020
Idioma:
Español
Una vulnerabilidad de cadena de formato en el demonio Varrcvr de PAN-OS en dispositivos PA-7000 Series con Log Forwarding Card (LFC), permite a atacantes remotos bloquear el demonio creando una condición de denegación de servicio o potencialmente ejecutar código con privilegios root. Este problema afecta a Palo Alto Networks PAN-OS versiones 9.0 anteriores a 9.0.7; versiones PAN-OS 9.1 anteriores a 9.1.2 en dispositivos PA-7000 Series con un LFC instalado y configurado. Este problema requiere que los servicios WildFire estén configurados y habilitados. Este problema no afecta a PAN-OS versiones 8.1 y anteriores. Este problema no afecta a ningún otro firewall de PA Series.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/04/2020

Vulnerabilidad en un usuario de Windows en Palo Alto Networks Traps (CVE-2020-1991)
Fecha de publicación:
08/04/2020
Idioma:
Español
Una vulnerabilidad de archivo temporal no seguro en Palo Alto Networks Traps, permite a un usuario de Windows autenticado local escalar privilegios o sobrescribir archivos del sistema. Este problema afecta a Palo Alto Networks Traps versiones 5.0 anteriores a 5.0.8; versiones 6.1 anteriores a 6.1.4 en Windows. Este problema no afecta a Cortex XDR versión 7.0. Este problema no afecta a Traps para Linux o MacOS.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/04/2020

Vulnerabilidad en el componente servidor de administración en la cargar de una configuración en Palo Alto Networks PAN-OS (CVE-2020-1990)
Fecha de publicación:
08/04/2020
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en el componente servidor de administración de PAN-OS, permite a un usuario autenticado cargar una configuración de PAN-OS corrupta y potencialmente ejecutar código con privilegios root. Este problema afecta a Palo Alto Networks PAN-OS versiones 8.1 anteriores a 8.1.13; versiones 9.0 anteriores a 9.0.7. Este problema no afecta a PAN-OS versión 7.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2020

Vulnerabilidad en Problemas en la Interfaz de Usuario Web y la API GraphQL en GitLab EE/CE (CVE-2020-10978)
Fecha de publicación:
08/04/2020
Idioma:
Español
GitLab EE/CE versiones 8.11 hasta 12.9, está filtrando información sobre Problemas aperturados en un proyecto público y luego es movido a un proyecto privado por medio de Interfaz de Usuario Web y la API GraphQL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en métricas de tuberías de CI en GitLab EE/CE (CVE-2020-10979)
Fecha de publicación:
08/04/2020
Idioma:
Español
GitLab EE/CE versiones 11.10 hasta 12.9, está filtrando información sobre métricas de tuberías de CI a usuarios no autorizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en las descripciones de activación de la tubería del mismo proyecto de GitLab EE/CE (CVE-2020-10981)
Fecha de publicación:
08/04/2020
Idioma:
Español
GitLab EE/CE versiones 9.0 hasta 12.9, permite a un mantenedor modificar las descripciones de activación de la tubería de otros mantenedores dentro del mismo proyecto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en la carpeta C:\Programdata\Secdo\Logs en Secdo para Windows (CVE-2020-1985)
Fecha de publicación:
08/04/2020
Idioma:
Español
Permisos Predeterminados Incorrectos en la carpeta C:\Programdata\Secdo\Logs en Secdo, permiten a los usuarios autenticados locales sobrescribir los archivos del sistema y alcanzar privilegios escalados. Este problema afecta a todas las versiones de Secdo para Windows.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/04/2020

Vulnerabilidad en una ruta embebida en Secdo para Windows (CVE-2020-1984)
Fecha de publicación:
08/04/2020
Idioma:
Español
Secdo intenta ejecutar un script en una ruta embebida si está presente, lo que permite a un usuario autenticado local con acceso a "create folders or append data" en la root del disco del Sistema Operativo (C:\) para alcanzar privilegios system si la ruta aún no existe o es escribible. Este problema afecta a todas las versiones de Secdo para Windows.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/04/2020

Vulnerabilidad en el inicio de sesión en Secdo para Windows (CVE-2020-1986)
Fecha de publicación:
08/04/2020
Idioma:
Español
Una vulnerabilidad de comprobación de entrada incorrecta en Secdo, permite que un usuario local autenticado con acceso para "create folders or append data" en la root del disco del Sistema Operativo (C:\) para causar un bloqueo del sistema en cada inicio de sesión. Este problema afecta a todas las versiones de Secdo para Windows.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2020

Vulnerabilidad en las credenciales de la cuenta de servicio del panel de Azure en los archivos TechSupport en los firewalls Palo Alto Networks VM Series en la plataforma Microsoft Azure (CVE-2020-1978)
Fecha de publicación:
08/04/2020
Idioma:
Español
Los archivos TechSupport generados en los firewalls Palo Alto Networks VM Series para la plataforma Microsoft Azure configurados con alta disponibilidad (HA), recopilan inadvertidamente las credenciales de la cuenta de servicio del panel de Azure. Estas credenciales son equivalentes a las credenciales asociadas con el rol Contributor en Azure. Un usuario con las credenciales podrá ser capaz de administrar todos los recursos de Azure en la suscripción, excepto para otorgar acceso a otros recursos. Estas credenciales no permiten el acceso de inicio de sesión a las máquinas virtuales por si mismas. Este problema afecta a VM Series Plugin versiones anteriores a 1.0.9 para PAN-OS versión 9.0. Este problema no afecta a VM Series en configuraciones que no sean de alta disponibilidad o sobre otras plataformas en la nube. No afecta al hardware de dispositivos firewall. Desde que se conoció el problema, Palo Alto Networks ha eliminado de manera segura todos los archivos de soporte técnico con las credenciales. Ahora filtramos y eliminamos estas credenciales de todos los archivos TechSupport que nos envían. Los archivos TechSupport cargados en los sistemas de Palo Alto Networks solo eran accesibles por personal autorizado con credenciales válidas de Palo Alto Networks. No tenemos ninguna evidencia de acceso malicioso o uso de estas credenciales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2020

Vulnerabilidad en la integración de FogBugz en GitLab EE/CE (CVE-2020-10980)
Fecha de publicación:
08/04/2020
Idioma:
Español
GitLab EE/CE versiones 8.0.rc1 hasta 12.9, es vulnerable a un ataque de tipo SSRF ciego en la integración de FogBugz.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/04/2020

Vulnerabilidad en el Global Protect Agent de Palo Alto Networks en Windows (CVE-2020-1988)
Fecha de publicación:
08/04/2020
Idioma:
Español
Una vulnerabilidad de ruta de búsqueda sin comillas en la versión de Windows del Global Protect Agent, permite a un usuario local autenticado con privilegios de creación de archivos en la root del disco del Sistema Operativo (C:\) o al directorio Program Files para alcanzar privilegios system. Este problema afecta a Global Protect Agent de Palo Alto Networks versiones 5.0 anteriores a 5.0.5; versiones 4.1 anteriores a 4.1.13 en Windows;
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/04/2020
Suscribirse a Vulnerabilidades