Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en claves privadas criptográficas compartidas en SSH y HTTPS en dispositivos GeoVision Door Access Control (CVE-2020-3929)
Fecha de publicación:
12/06/2020
Idioma:
Español
La familia de dispositivos GeoVision Door Access Control emplea claves privadas criptográficas compartidas para SSH y HTTPS. Los atacantes pueden conducir ataques MITM con las claves derivadas y recuperan texto plano de mensajes cifrados
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2020

Vulnerabilidad en una contraseña root en los dispositivos GeoVision Door Access Control (CVE-2020-3928)
Fecha de publicación:
12/06/2020
Idioma:
Español
La familia de dispositivos GeoVision Door Access Control es embebida con una contraseña root, que adopta una contraseña idéntica en todos los dispositivos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/06/2020

Vulnerabilidad en el acceso a los registros del sistema en GeoVision Door Access Control (CVE-2020-3930)
Fecha de publicación:
12/06/2020
Idioma:
Español
La familia de dispositivos GeoVision Door Access Control almacena y controla inapropiadamente el acceso a los registros del sistema, cualquier usuario puede leer estos registros
Gravedad CVSS v3.1: BAJA
Última modificación:
23/07/2020

Vulnerabilidad en el estado de instalación de los agentes desplegados en Zoho ManageEngine ServiceDesk Plus (CVE-2020-14048)
Fecha de publicación:
12/06/2020
Idioma:
Español
Zoho ManageEngine ServiceDesk Plus versiones anteriores a 11.1, build 11115, permite a atacantes remotos no autenticados cambiar el estado de instalación de los agentes desplegados
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2020

Vulnerabilidad en el método get() en SSB-DB (CVE-2020-4045)
Fecha de publicación:
11/06/2020
Idioma:
Español
SSB-DB versión 20.0.0, presenta una vulnerabilidad de divulgación de información. Se supone que el método get() solo descifra los mensajes cuando se le solicita explícitamente, pero se presenta un bug en el que descifra cualquier mensaje que pueda. Esto significa que está devolviendo el contenido descifrado de mensajes privados, que un peer malicioso podría usar para obtener acceso a datos privados. Esto solo afecta a los peers que ejecutan SSB-DB@20.0.0 que también tienen mensajes privados, y solo se sabe que es explotable si también está ejecutando SSB-OOO (predeterminado en SSB-Server), que expone un contenedor ligero alrededor de la función get( ) a compañeros anónimos. Esto se corrige en la versión 20.0.1. Tenga en cuenta que los usuarios de SSB-Server versión 16.0.0 deben actualizar a 16.0.1 para obtener la versión corregida de SSB-DB
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2020

Vulnerabilidad en una funcionalidad de caché de HTTP API y DNS en HashiCorp Consul y Consul Enterprise (CVE-2020-13250)
Fecha de publicación:
11/06/2020
Idioma:
Español
HashiCorp Consul y Consul Enterprise, incluyen una funcionalidad de caché de HTTP API (introducida en la versión 1.2.0) y DNS (introducida en la versión 1.4.3), que era vulnerable a una denegación de servicio. Corregido en las versiones 1.6.6 y 1.7.4
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en las reglas de token de las ACL heredadas en HashiCorp Consul y Consul Enterprise (CVE-2020-12797)
Fecha de publicación:
11/06/2020
Idioma:
Español
HashiCorp Consul y Consul Enterprise, presentaron un fallo al aplicar cambios a las reglas de token de las ACL heredadas debido a la no propagación a centros de datos secundarios. Introducido en la versión 1.4.0, corregido en las versiones 1.6.6 y 1.7.4
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en una entrada del enrutador de servicio en HashiCorp Consul y Consul Enterprise (CVE-2020-12758)
Fecha de publicación:
11/06/2020
Idioma:
Español
HashiCorp Consul y Consul Enterprise, podrían bloquearse cuando son configurados con una entrada del enrutador de servicio anormalmente formada. Introducido en la versión 1.6.0, corregido en las versiones 1.6.6 y 1.7.4
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2020

Vulnerabilidad en el alcance de los tokens locales en HashiCorp Consul y Consul Enterprise (CVE-2020-13170)
Fecha de publicación:
11/06/2020
Idioma:
Español
HashiCorp Consul y Consul Enterprise, no aplicaron apropiadamente el alcance de los tokens locales emitidos por un centro de datos primario, donde lo replicación a un centro de datos secundario que no estaba habilitado. Introducido en la versión 1.4.0, corregido en las versiones 1.6.6 y 1.7.4
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2020

Vulnerabilidad en integración del sistema IntelliBridge Enterprise con SureSigns (VS4), EarlyVue (VS30) e IntelliVue Guardian (IGS) en Philips IntelliBridge Enterprise (IBE) (CVE-2020-12023)
Fecha de publicación:
11/06/2020
Idioma:
Español
Philips IntelliBridge Enterprise (IBE), versiones B.12 y anteriores, integra el sistema IntelliBridge Enterprise con SureSigns (VS4), EarlyVue (VS30) e IntelliVue Guardian (IGS). Las credenciales de usuario sin cifrar recibidas en el IntelliBridge Enterprise (IBE) se registran dentro de los registros de transacciones, que se protegen detrás del portal web administrativo basado en el inicio de sesión. Las credenciales de usuario sin cifrar enviadas desde los productos afectados enumerados anteriormente, con el propósito de un protocolo de enlace o una autenticación con los Sistemas Empresariales, son registrados como la carga útil en IntelliBridge Enterprise (IBE) dentro de los registros de transacción. Un atacante con privilegios administrativos podría explotar esta vulnerabilidad para leer las credenciales de texto plano de los archivos de registro
Gravedad CVSS v3.1: BAJA
Última modificación:
04/06/2025

Vulnerabilidad en Bluetooth Smart Privacy en Rolling Proximity Identifier usado en la API Exposure Notification de Apple/Google (CVE-2020-13702)
Fecha de publicación:
11/06/2020
Idioma:
Español
El Rolling Proximity Identifier usado en la API Exposure Notification de Apple/Google versión beta hasta 29-05-2020, permite a atacantes omitir Bluetooth Smart Privacy porque existe un UID temporal secundario. Un atacante con acceso a redes Beacon o IoT puede rastrear sin problemas el movimiento de dispositivos individuales por medio de un mecanismo de detección Bluetooth LE
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2021

Vulnerabilidad en la fuente de datos "JSON" de Redash de código abierto en Havoc Research (CVE-2020-12725)
Fecha de publicación:
11/06/2020
Idioma:
Español
Havoc Research detectó una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) autenticada por medio de la fuente de datos "JSON" de Redash de código abierto versiones 8.0.0 y anteriores. Posiblemente, otros conectores están afectados. El SSRF es potente y provee mucha flexibilidad en términos de poder diseñar peticiones HTTP, por ejemplo, agregando encabezados, seleccionando cualquier verbo HTTP, etc
Gravedad CVSS v3.1: ALTA
Última modificación:
22/06/2020
Suscribirse a Vulnerabilidades