Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el sistema de autenticación en PrestaShop (CVE-2020-4074)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.0.0 y anteriores a la versión 1.7.6.6, el sistema de autenticación es malformado y un atacante es capaz de falsificar peticiones y ejecutar comandos de administración. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/01/2023

Vulnerabilidad en proponentes de bloque en TenderMint (CVE-2020-15091)
Fecha de publicación:
02/07/2020
Idioma:
Español
TenderMint desde versión 0.33.0 y anteriores a versión 0.33.6, permite a proponentes de bloque incluir firmas para el bloque equivocado. Esto puede suceder naturalmente si inicia una red, la hace funcionar durante un tiempo y la reinicia (**without changing chainID**). Un proponente de bloque malicioso (inclusive con una cantidad mínima de participación) puede usar esta vulnerabilidad para detener completamente la red. Este problema es corregido en Tendermint versión 0.33.6, que comprueba que todas las firmas son para el bloque con una mayoría de 2/3+ antes de crear una confirmación
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2020

Vulnerabilidad en envío de un archivo corrupto en PrestaShop (CVE-2020-15083)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.7.0.0 y anteriores a versión 1.7.6.6, si un objetivo envía un archivo corrupto, esto conlleva a una vulnerabilidad de tipo XSS reflejado. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2020

Vulnerabilidad en las variables de configuración en el panel en PrestaShop (CVE-2020-15082)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.6.0.1 y anteriores a versión 1.7.6.6, el panel permite reescribir todas las variables de configuración. El problema es corregido en versión 1.7.6.6
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2020

Vulnerabilidad en el directorio de carga en el archivo index.php en PrestaShop (CVE-2020-15081)
Fecha de publicación:
02/07/2020
Idioma:
Español
En PrestaShop desde versión 1.5.0.0 y anteriores a 1.7.6.6, se presenta una exposición de información en el directorio de carga. El problema es corregido en versión 1.7.6.6. Una posible que una solución alternativa es agregar un archivo index.php vacío en el directorio de carga
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2020

Vulnerabilidad en contenido copiado desde sitios web en el Froala richeditor en October (CVE-2020-4061)
Fecha de publicación:
02/07/2020
Idioma:
Español
En October desde versión 1.0.319 y anteriores a versión 1.0.467, al pegar contenido copiado desde sitios web maliciosos en el Froala richeditor podría resultar en un ataque con éxito de tipo auto-XSS. Esto ha sido corregido en versión 1.0.467
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2020

Vulnerabilidad en unas sesiones HTTPS en determinadas configuraciones en Traefik (CVE-2019-20894)
Fecha de publicación:
02/07/2020
Idioma:
Español
Traefik versiones 2.x, en determinadas configuraciones, permite a unas sesiones HTTPS continuar sin verificación mutua de TLS en una situación donde ERR_BAD_SSL_CLIENT_AUTH_CERT debería haber ocurrido
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2021

Vulnerabilidad en el nombre de la cuenta del perfil de un usuario en el componente Webmail de Zimbra Collaboration Suite (CVE-2020-13653)
Fecha de publicación:
02/07/2020
Idioma:
Español
Se presenta una vulnerabilidad de tipo XSS en el componente Webmail de Zimbra Collaboration Suite versiones anteriores a 8.8.15 Parche 11. Permite a un atacante inyectar JavaScript ejecutable en el nombre de la cuenta del perfil de un usuario. El código inyectado puede ser reflejado y ejecutado cuando se cambia una firma de correo electrónico
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2020

Vulnerabilidad en el CodePeople Payment Form para el plugin PayPal Pro para WordPress (CVE-2020-14092)
Fecha de publicación:
02/07/2020
Idioma:
Español
El CodePeople Payment Form para el plugin PayPal Pro versiones anteriores a 1.1.65 para WordPress, permite una inyección SQL
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en un servidor HTTP en Jenkins Zephyr para JIRA Test Management Plugin (CVE-2020-2216)
Fecha de publicación:
02/07/2020
Idioma:
Español
Una falta de comprobación de permisos en Jenkins Zephyr para JIRA Test Management Plugin versiones 1.5 y anteriores, permite a atacantes con permiso General y de Lectura conectarse a un servidor HTTP especificado por el atacante usando un nombre de usuario y contraseña especificados por el atacante
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en una protección de la Política de Seguridad de Contenido en Jenkins ZAP Pipeline Plugin (CVE-2020-2214)
Fecha de publicación:
02/07/2020
Idioma:
Español
Jenkins ZAP Pipeline Plugin versiones 1.9 y anteriores, deshabilitan de forma programada una protección de la Política de Seguridad de Contenido para el contenido generado por el usuario en espacios de trabajo, artefactos archivados, etc. que Jenkins ofrece para descargar
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en credenciales sin cifrar en su archivo de configuración global y en los archivos config.xml de trabajo en Jenkins White Source Plugin (CVE-2020-2213)
Fecha de publicación:
02/07/2020
Idioma:
Español
Jenkins White Source Plugin versiones 19.1.1 y anteriores, almacenan unas credenciales sin cifrar en su archivo de configuración global y en los archivos config.xml de trabajo en el maestro de Jenkins, donde pueden ser visualizados por usuarios con Permiso de Lectura Extendida (config.xml) o acceso al sistema de archivos maestro
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023
Suscribirse a Vulnerabilidades