Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la cookie en una sesión http en HCL iNotes (CVE-2020-4126)
Fecha de publicación:
01/12/2020
Idioma:
Español
HCL iNotes es susceptible a una vulnerabilidad de exposición de cookies confidenciales. Esto puede permitir a un atacante remoto no autenticado capturar la cookie interceptando su transmisión dentro de una sesión http. Las correcciones están disponibles en HCL Domino e iNotes versiones 10.0.1 FP6 y 11.0.1 FP2 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el componente plugin en ManageOne (CVE-2020-9115)
Fecha de publicación:
01/12/2020
Idioma:
Español
Las versiones 6.5.1.1.B010, 6.5.1.1.B020, 6.5.1.1.B030, 6.5.1.1.B040, 6.5.1.1.B050, 8.0.0 y 8.0.1 de ManageOne tienen una vulnerabilidad de inyección de comandos. Un atacante con privilegios elevados puede aprovechar esta vulnerabilidad mediante algunas operaciones en el componente plugin. Debido a una comprobación de entrada insuficiente de algunos parámetros, el atacante puede explotar esta vulnerabilidad para inyectar comandos en el dispositivo objetivo
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en archivos dentro de los directorios WEB-INF/classes & /jira/bin en Automation para Jira (CVE-2020-14193)
Fecha de publicación:
30/11/2020
Idioma:
Español
Versiones afectadas de Automation para Jira: el servidor permitió a atacantes remotos leer y representar archivos como plantillas de bigote en archivos dentro de los directorios WEB-INF/classes & /jira/bin por medio de una vulnerabilidad de inyección de plantillas en los valores inteligentes de Jira usando parciales de bigote. Las versiones afectadas son las anteriores a versión 7.1.15
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2022

Vulnerabilidad en la carga de archivos en el Upload Widget en OutSystems Platform 10 (CVE-2020-29441)
Fecha de publicación:
30/11/2020
Idioma:
Español
Se detectó un problema en el Upload Widget en OutSystems Platform 10 versiones anteriores 10.0.1019.0. Un atacante no autenticado puede cargar archivos arbitrarios. En algunos casos, este ataque puede consumir el espacio disponible de la base de datos (denegación de servicio), corromper datos legítimos si los archivos son procesados de forma asincrónica o negar el acceso a archivos legítimos cargados
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en el inicio de sesión en HCL Domino (CVE-2020-4127)
Fecha de publicación:
30/11/2020
Idioma:
Español
HCL Domino es susceptible a una vulnerabilidad CSRF de inicio de sesión. Con una credencial válida, un atacante podría engañar a un usuario para que acceda a un sistema con otra identificación o utilice el sistema de un usuario de la intranet para acceder a los sistemas internos desde la Internet. Las correcciones están disponibles en HCL Domino versiones 9.0.1 FP10 IF6, 10.0.1 FP6 y 11.0.1 FP1 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en el emparejamiento de un nuevo llavero con el módulo de control de la carrocería (BCM) en los vehículos Tesla Model X (CVE-2020-29440)
Fecha de publicación:
30/11/2020
Idioma:
Español
Los vehículos Tesla Model X anterior al 23-11-2020 no realizan la comprobación del certificado durante un intento de emparejar un nuevo llavero con el módulo de control de carrocería (BCM). Esto permite a un atacante (que se encuentra dentro de un vehículo, o que puede enviar datos por medio del bus CAN) arrancar y conducir el vehículo con un llavero falso
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en el envío de un paquete en los PLC de la serie Mitsubishi MELSEC iQ-R (CVE-2020-16850)
Fecha de publicación:
30/11/2020
Idioma:
Español
Los PLC de la serie Mitsubishi MELSEC iQ-R con firmware 49 permiten a un atacante no autenticado detener el proceso industrial enviando un paquete diseñado a través de la red. Este ataque de denegación de servicio expone una Validación de Entrada Inapropiada. Después de detenerse, el acceso físico al PLC es requerido para restaurar la producción y se pierde el estado del dispositivo. Esto está relacionado con R04CPU, RJ71GF11-T2, R04CPU y RJ71GF11-T2
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el componente IPv4/ICMPv4 en los dispositivos Canon MF237w (CVE-2020-16849)
Fecha de publicación:
30/11/2020
Idioma:
Español
Se detectó un problema en los dispositivos Canon MF237w versión 06.07. Un problema de "Improper Handling of Length Parameter Inconsistency" en el componente IPv4/ICMPv4, cuando se maneja un paquete enviado por un atacante de red no autenticado, puede exponer información confidencial
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2020

Vulnerabilidad en llaveros de cinco dígitos VIN en el módulo de control de carrocería (BCM) en los vehículos Tesla Model X (CVE-2020-29439)
Fecha de publicación:
30/11/2020
Idioma:
Español
Los vehículos Tesla Model X anterior al 23-11-2020 tienen llaveros que dependen de cinco dígitos VIN para la autenticación necesaria para que un módulo de control de carrocería (BCM) inicie una acción de activación de Bluetooth. (El VIN completo es visible desde el exterior del vehículo)
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en llaveros con actualizaciones de firmware sin verificación de firma en los vehículos Tesla Model X (CVE-2020-29438)
Fecha de publicación:
30/11/2020
Idioma:
Español
Los vehículos Tesla Model X anterior al 23-11-2020 tienen llaveros que aceptan actualizaciones de firmware sin verificación de firma. Esto permite a atacantes construir firmware que recupere un código de desbloqueo de un chip de enclave seguro
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2020

Vulnerabilidad en almacenamiento de archivos temporales en /var/tmp/audacity-$USER en Audacity (CVE-2020-11867)
Fecha de publicación:
30/11/2020
Idioma:
Español
Audacity versiones hasta 2.3.3 guarda archivos temporales en /var/tmp/audacity-$USER por defecto. Una vez que Audacity crea el directorio temporal, establece sus permisos en 755. Cualquier usuario del sistema puede leer y reproducir los archivos .au de audio temporales que se encuentran allí
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en archivos de cuarentena y de sysinfo en Quick Heal Total Security (CVE-2020-27586)
Fecha de publicación:
30/11/2020
Idioma:
Español
Quick Heal Total Security anterior a versión 19.0, transmite archivos de cuarentena y de sysinfo por medio de texto sin cifrar
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2020
Suscribirse a Vulnerabilidades