Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los parámetros macro en el plugin Keysight Database Connector para Confluence (CVE-2020-35121)
Fecha de publicación:
15/12/2020
Idioma:
Español
Se detectó un problema en el plugin Keysight Database Connector versiones anteriores a 1.5.0 para Confluence. Un usuario malicioso podría insertar JavaScript arbitrario en los parámetros macro guardados que podrían ejecutarse cuando un usuario visualizaba una página con esa instancia de la macro
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

CVE-2020-29606
Fecha de publicación:
15/12/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en JSON en GJSON (CVE-2020-35380)
Fecha de publicación:
15/12/2020
Idioma:
Español
GJSON versiones anteriores a 1.6.4, permite a atacantes causar una denegación de servicio por medio de un JSON diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2020

Vulnerabilidad en la página gallery.php en DourceCodester Alumni Management System (CVE-2020-28072)
Fecha de publicación:
15/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de Ejecución de Código Remota en DourceCodester Alumni Management System versión 1.0. Un atacante autenticado puede cargar un archivo arbitrario en la página gallery.php y ejecutarlo sobre el servidor alcanzando la RCE
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2020

Vulnerabilidad en el parámetro ConnectionID en Pega Platform (CVE-2020-23957)
Fecha de publicación:
15/12/2020
Idioma:
Español
Pega Platform versiones hasta 8.4.x, está afectada por una vulnerabilidad de tipo Cross Site Scripting (XSS) por medio del parámetro ConnectionID, como es demostrado por una petición pyActivity=Data-TRACERSettings.pzStartTracerSession hacia un URI PRAuth
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/12/2020

Vulnerabilidad en el archivo index.php con parámetros de consulta en PHPJabbers Appointment Scheduler (CVE-2020-35416)
Fecha de publicación:
15/12/2020
Idioma:
Español
Se presentan múltiples vulnerabilidades de tipo cross-site scripting (XSS) en PHPJabbers Appointment Scheduler versión 2.3, en la página web de inicio de sesión de administración del archivo index.php (con diferentes parámetros de consulta), permite a atacantes remotos inyectar script web o HTML arbitrario
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2022

Vulnerabilidad en una llamada GET en jsonparser (CVE-2020-35381)
Fecha de publicación:
15/12/2020
Idioma:
Español
jsonparser versión 1.0.0, permite a atacantes causar una denegación de servicio (pánico: error de tiempo de ejecución: límites de corte fuera de rango) por medio de una llamada GET
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en checksums del archivo de configuración en las entradas crontab en los dispositivos D-Link DSR-250 (CVE-2020-25758)
Fecha de publicación:
15/12/2020
Idioma:
Español
Se detectó un problema en los dispositivos D-Link DSR-250 versión 3.17. Una comprobación insuficiente de checksums del archivo de configuración, podría permitir a un atacante autenticado remoto inyectar entradas crontab arbitrarias en las configuraciones guardadas antes de cargarlas. Estas entradas son ejecutadas como root
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2021

Vulnerabilidad en las API de comando del sistema en Lua CGI en los enrutadores D-Link DSR VPN (CVE-2020-25757)
Fecha de publicación:
15/12/2020
Idioma:
Español
Una falta de comprobación de entrada y controles de acceso en Lua CGI en enrutadores D-Link DSR VPN, puede resultar en una entrada arbitraria que es pasada a las API de comando del sistema, resultando en una ejecución de comandos arbitrarios con privilegios root. Esto afecta a DSR-150, DSR-250, DSR-500 y DSR-1000AC con versiones de firmware 3.14 y 3.17
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en las peticiones HTTP POST en la interfaz web Unified Services Router en los dispositivos D-Link DSR-250 (CVE-2020-25759)
Fecha de publicación:
15/12/2020
Idioma:
Español
Se detectó un problema en los dispositivos D-Link DSR-250 versión 3.17. Determinada funcionalidad en la interfaz web Unified Services Router podría permitir a un atacante autenticado ejecutar comandos arbitrarios, debido a una falta de comprobación de entradas proporcionadas en peticiones HTTP POST de múltiples partes
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la longitud de los campos input de los módulos Host Engineering (CVE-2020-25195)
Fecha de publicación:
15/12/2020
Idioma:
Español
La longitud de los campos de entrada de los módulos Host Engineering H0-ECOM100, H2-ECOM100 y H4-ECOM100 son verificados solo en el lado del cliente cuando se reciben entradas del servidor web de configuración, lo que puede permitir a un atacante omitir la comprobación y enviar entradas para bloquear el dispositivo
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2020

Vulnerabilidad en un proveedor de identidad externo en Keycloak (CVE-2020-14302)
Fecha de publicación:
15/12/2020
Idioma:
Español
Se encontró un fallo en Keycloak versiones anteriores a 13.0.0, donde un proveedor de identidad externo, después de una autenticación con éxito, redirecciona un endpoint hacia Keycloak que acepta múltiples invocaciones con el uso del mismo parámetro "state". Este fallo permite a un usuario malicioso llevar a cabo ataques de reproducción
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2020
Suscribirse a Vulnerabilidades