Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el manejo de mensajes MIME del cliente HCL Notes (CVE-2020-14224)
Fecha de publicación:
18/12/2020
Idioma:
Español
Una vulnerabilidad en el manejo de mensajes MIME del cliente HCL Notes versión v9, podría potencialmente ser explotada por un atacante no autenticado, resultando en un desbordamiento del búfer de pila. Esto podría permitir a un atacante remoto bloquear la aplicación Notes o inyectar código en el sistema que podría ejecutarse con los privilegios del usuario actualmente conectado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/12/2020

Vulnerabilidad en un marcado en el navegador web en HCL iNotes (CVE-2020-14271)
Fecha de publicación:
18/12/2020
Idioma:
Español
HCL iNotes versiones v9, v10 y v11, es susceptible a una vulnerabilidad de tipo Cross-Site Scripting (XSS) Almacenado debido a un manejo inapropiado del contenido del mensaje. Un atacante remoto no autenticado podría explotar esta vulnerabilidad usando un marcado especialmente diseñado para ejecutar un script en el navegador web de la víctima dentro del contexto de seguridad del sitio web de alojamiento y/o robar las credenciales de autenticación basadas en cookies de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2020

Vulnerabilidad en HPE StoreEver MSL2024 Tape Library y HPE StoreEver 1/8 G2 Tape Autoloaders (CVE-2020-7201)
Fecha de publicación:
18/12/2020
Idioma:
Español
Se ha identificado una vulnerabilidad de seguridad potencial en HPE StoreEver MSL2024 Tape Library y HPE StoreEver 1/8 G2 Tape Autoloaders. La vulnerabilidad podría ser explotada remotamente para permitir un ataque de tipo Cross-Site Request Forgery (CSRF)
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2020

Vulnerabilidad en HPE Systems Insight Manager (SIM) (CVE-2020-7200)
Fecha de publicación:
18/12/2020
Idioma:
Español
Se ha identificado una vulnerabilidad de seguridad potencial en HPE Systems Insight Manager (SIM) versión 7.6. La vulnerabilidad podría ser explotada para permitir una ejecución de código remota
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/03/2021

Vulnerabilidad en un marcado en el navegador web en HCL Verse (CVE-2020-4080)
Fecha de publicación:
18/12/2020
Idioma:
Español
HCL Verse versiones v10 y v11, es susceptible a una vulnerabilidad de tipo Cross-Site Scripting (XSS) Almacenado debido a un manejo inapropiado del contenido del mensaje. Un atacante remoto no autenticado podría explotar esta vulnerabilidad usando un marcado especialmente diseñado para ejecutar un script en el navegador web de la víctima dentro del contexto de seguridad del sitio Web hosteado y/o robar las credenciales de autenticación basadas en cookies de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2020

Vulnerabilidad en archivos en el disco en Marvell QConvergeConsole GUI (CVE-2020-5803)
Fecha de publicación:
18/12/2020
Idioma:
Español
Un Salto de Ruta Relativa en Marvell QConvergeConsole GUI versión 5.5.0.74, permite a un atacante autenticado y remoto eliminar archivos arbitrarios en el disco como SYSTEM o root
Gravedad CVSS v3.1: ALTA
Última modificación:
23/12/2020

Vulnerabilidad en mysql connectorj en DolphinScheduler (CVE-2020-11974)
Fecha de publicación:
18/12/2020
Idioma:
Español
En DolphinScheduler versiones 1.2.0 y 1.2.1, con mysql connectorj se presenta una vulnerabilidad de ejecución de código remota al elegir mysql como base de datos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/05/2024

Vulnerabilidad en la configuración de servicio en Kepware LinkMaster (CVE-2020-13535)
Fecha de publicación:
18/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios en Kepware LinkMaster versión 3.0.94.0. En su configuración predeterminada, un atacante puede sobrescribir globalmente la configuración de servicio para ejecutar código arbitrario con privilegios NT SYSTEM
Gravedad CVSS v3.1: ALTA
Última modificación:
06/08/2022

Vulnerabilidad en los controladores de interfaz en Native CephFS de OpenStack Manila en Ceph (CVE-2020-27781)
Fecha de publicación:
18/12/2020
Idioma:
Español
Las credenciales de un usuario pueden ser manipuladas y robadas por consumidores de Native CephFS de OpenStack Manila, resultando en una posible escalada de privilegios. Un usuario de Open Stack Manila puede requerir acceso a un recurso compartido para un usuario cephx arbitrario, incluyendo los usuarios existentes. La clave de acceso se recupera por medio de los controladores de interfaz. Luego, todos los usuarios del proyecto de OpenStack solicitante pueden visualizar la clave de acceso. Esto permite a un atacante apuntar a cualquier recurso al que el usuario tenga acceso. Esto puede ser realizado inclusive para usuarios "admin", comprometiendo al administrador de ceph. Este fallo afecta a Ceph versiones anteriores a 14.2.16, versiones 15.x anteriores a 15.2.8, y versiones 16.x anteriores a 16.2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la construcción de unas URL en la API HTTP en Pulsar Manager (CVE-2020-17520)
Fecha de publicación:
18/12/2020
Idioma:
Español
En la versión Pulsar Manager versión 0.1.0, los usuarios maliciosos serán capaces de omitir el mecanismo de verificación de permisos del administrador de pulsar-manager mediante la construcción de unas URL especiales, accediendo así a cualquier API HTTP
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en una petición I/O del paquete (IRP) en la funcionalidad WinRing0x64 Driver Privileged I/O Write IRPs en NZXT CAM (CVE-2020-13512)
Fecha de publicación:
18/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios en la funcionalidad WinRing0x64 Driver Privileged I/O Write IRPs de NZXT CAM versión 4.8.0. Una petición I/O especialmente diseñada del paquete (IRP) puede causar un aumento de privilegios. Usando el IRP 0x9c40a0d8 le otorga a un usuario poco privilegiado acceso directo a la instrucción OUT que está completamente sin restricciones en un nivel de privilegio elevado. Un atacante puede enviar un IRP malicioso para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2022

Vulnerabilidad en un paquete de petición de I/O (IRP) en la funcionalidad WinRing0x64 Driver Privileged I/O Write IRPs de NZXT CAM (CVE-2020-13513)
Fecha de publicación:
18/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios en la funcionalidad WinRing0x64 Driver Privileged I/O Write IRPs de NZXT CAM versión 4.8.0. Un paquete de petición de I/O (IRP) especialmente diseñado puede causar un incremento de privilegios. Usando IRP 0x9c40a0dc le otorga a un usuario poco privilegiado acceso directo a la instrucción OUT que está completamente sin restricciones en un nivel de privilegio elevado. Un atacante puede enviar un IRP malicioso para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2022
Suscribirse a Vulnerabilidades