Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en JIT en libpcre en PCRE (CVE-2019-20838)
Fecha de publicación:
15/06/2020
Idioma:
Español
libpcre en PCRE versiones anteriores a 8.43, permite una lectura excesiva del búfer del asunto en JIT cuando UTF es deshabilitado, y \X o \R contiene más de un cuantificador corregido, un problema relacionado con CVE-2019-20454
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el modo StrictHostMatching en la autenticación del cliente TLS en Caddy (CVE-2018-21246)
Fecha de publicación:
15/06/2020
Idioma:
Español
Caddy versiones anteriores a 0.10.13, maneja inapropiadamente la autenticación del cliente TLS, como es demostrado por una omisión de autenticación causado por la falta del modo StrictHostMatching
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/06/2020

Vulnerabilidad en las peticiones HTTP en Pound (CVE-2018-21245)
Fecha de publicación:
15/06/2020
Idioma:
Español
Pound versiones anteriores a 2.8, permite el tráfico no autorizado de peticiones HTTP, un problema relacionado con CVE-2016-10711
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2020

Vulnerabilidad en la identidad del remitente del mensaje en una URL en los teléfonos inteligentes HUAWEI P30; HUAWEI P30 Pro; Tony-AL00B (CVE-2020-9076)
Fecha de publicación:
15/06/2020
Idioma:
Español
Los teléfonos inteligentes HUAWEI P30; HUAWEI P30 Pro; Tony-AL00B con versiones anteriores a 10.1.0.135(C00E135R2P11); versiones anteriores a 10.1.0.135(C00E135R2P8),versiones anteriores a 10.1.0.135, presentan una vulnerabilidad de autenticación inapropiada. Debido a que la identidad del remitente del mensaje no está siendo verificada apropiadamente, un atacante puede explotar esta vulnerabilidad por medio de un ataque de tipo man-in-the-middle para inducir a un usuario a acceder a una URL maliciosa
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2020

Vulnerabilidad en el panel de control en los dispositivos D-link DSL-2750U (CVE-2020-13150)
Fecha de publicación:
15/06/2020
Idioma:
Español
Los dispositivos D-link DSL-2750U versión ISL2750UEME3.V1E, permiten aproximadamente 90 segundos de acceso al panel de control, después de un reinicio, previo a que las reglas de filtrado de direcciones MAC sean activadas
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2021

Vulnerabilidad en un archivo EMF en la biblioteca libemf.cpp en la función ScaleViewPortExtEx en libEMF (CVE-2020-13999)
Fecha de publicación:
15/06/2020
Idioma:
Español
La función ScaleViewPortExtEx en la biblioteca libemf.cpp en libEMF (también se conoce como ECMA-234 Metafile Library) versión 1.0.12, permite un desbordamiento de enteros y una denegación de servicio por medio de un archivo EMF diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el campo User Name o Password en la página de inicio de sesión en SOKKIA GNR5 Vanguard WEB (CVE-2020-14054)
Fecha de publicación:
15/06/2020
Idioma:
Español
SOKKIA GNR5 Vanguard WEB versión 1.2 (build: 91f2b2c3a04d203d79862f87e2440cb7cefc3cd3) y la versión de hardware 212, permite a atacantes remotos omitir la autenticación de administrador por medio de un ataque de inyección SQL que usa el campo User Name o Password en la página de inicio de sesión
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/06/2020

Vulnerabilidad en una configuración de permisos de carpeta y la carga no segura de bibliotecas en VMware Horizon Client para Windows (CVE-2020-3961)
Fecha de publicación:
15/06/2020
Idioma:
Español
VMware Horizon Client para Windows (versiones anteriores a 5.4.3) presenta una vulnerabilidad de escalada de privilegios debido a una configuración de permisos de carpeta y la carga no segura de bibliotecas. Un usuario local en el sistema donde está instalado el software puede explotar este problema para ejecutar comandos como cualquier usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en las funcionalidades Add New Package y Scheduled Deployments en la cuenta de administrador en Lansweeper (CVE-2020-14011)
Fecha de publicación:
15/06/2020
Idioma:
Español
Lansweeper versiones 6.0.x hasta 7.2.x, presenta una instalación predeterminada en la que la contraseña de administrador está configurada para la cuenta de administrador, a menos que "Built-in admin" sea manualmente desactivado. Esto permite una ejecución de comandos por medio de las funcionalidades Add New Package y Scheduled Deployments
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/04/2022

Vulnerabilidad en un archivo YAML de definición de flujo de trabajo en OpenStack Mistral (CVE-2018-16848)
Fecha de publicación:
15/06/2020
Idioma:
Español
Una condición de Denegación de Servicio (DoS) es posible en OpenStack Mistral en versiones hasta 7.0.3 incluyéndola. Enviar un archivo YAML de definición de flujo de trabajo especialmente diseñado que contenga anclas anidadas puede conllevar a un agotamiento de recursos que culmina en una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2020

Vulnerabilidad en OX Guard (CVE-2020-9426)
Fecha de publicación:
15/06/2020
Idioma:
Español
OX Guard versiones 2.10.3 y anteriores, permiten un ataque de tipo XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2020

Vulnerabilidad en el paquete chownr para Node.js (CVE-2017-18869)
Fecha de publicación:
15/06/2020
Idioma:
Español
Un problema de tipo TOCTOU en el paquete chownr versiones anteriores a 1.1.0 para Node.js versión 10.10, podría permitir a un atacante local engañarlo para que descienda a directorios no deseados mediante ataques de tipo symlink
Gravedad CVSS v3.1: BAJA
Última modificación:
17/06/2020
Suscribirse a Vulnerabilidades