Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la implementación de protección de CSRF en rConfig (CVE-2020-12257)
Fecha de publicación:
18/05/2020
Idioma:
Español
rConfig versión 3.9.4, es vulnerable a un ataque de tipo cross-site request forgery (CSRF) porque carece de la implementación de protección de CSRF, tal y como un token CSRF. Un atacante puede aprovechar esta vulnerabilidad al crear un formulario (añadir un usuario, eliminar un usuario o editar un usuario).
Gravedad CVSS v3.1: ALTA
Última modificación:
18/05/2020

Vulnerabilidad en el archivo configDevice.php en el parámetro GET rid en rConfig (CVE-2020-12259)
Fecha de publicación:
18/05/2020
Idioma:
Español
rConfig versión 3.9.4 es vulnerable a un ataque de tipo XSS reflejado. El archivo configDevice.php comprueba inapropiadamente las entradas de usuario. Un atacante puede explotar esta vulnerabilidad creando un JavaScript arbitrario en el parámetro GET rid del archivo devicemgmnt.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/05/2020

Vulnerabilidad en un dispositivo Android en los valores característicos de almacenamiento caché de GATT (TempID) en COVIDSafe (CVE-2020-12857)
Fecha de publicación:
18/05/2020
Idioma:
Español
Los valores característicos del almacenamiento caché de GATT (TempID) en COVIDSafe versiones v1.0.15 y v1.0.16, permite a un atacante remoto volver a identificar a largo plazo un dispositivo Android que ejecuta COVIDSafe.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en una carga útil de publicidad en dispositivos Android en COVIDSafe (CVE-2020-12858)
Fecha de publicación:
18/05/2020
Idioma:
Español
Una no reinicialización de los datos aleatorios en una carga útil de publicidad en COVIDSafe versiones v1.0.15 y v1.0.16, permite a un atacante remoto volver a identificar los dispositivos Android que ejecutan COVIDSafe al escanear sus indicadores publicitarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en los roles de un dispositivo BLE en COVIDSafe (CVE-2020-12860)
Fecha de publicación:
18/05/2020
Idioma:
Español
COVIDSafe versiones hasta v1.0.17, permite a un atacante remoto acceder a la información de nombre y modelo de teléfono porque un dispositivo BLE puede tener cuatro roles y COVIDSafe los usa todos. Esto permite la reidentificación de un dispositivo, y potencialmente una identificación del nombre del propietario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el método GET en client_key y device_id en la aplicación stashcat para macOS, Windows, Android, iOS, y otras plataformas (CVE-2020-13129)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema en la aplicación stashcat versiones hasta 3.9.1, para macOS, Windows, Android, iOS, y posiblemente otras plataformas. El método GET es usado con datos de client_key y device_id en la cadena de consulta, lo que permite a atacantes obtener información confidencial al leer los registros del servidor web.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2021

Vulnerabilidad en modelos de teléfonos pocos comunes en el protocolo OpenTrace/BlueTrace en COVIDSafe (CVE-2020-12859)
Fecha de publicación:
18/05/2020
Idioma:
Español
Los campos no necesarios del protocolo OpenTrace/BlueTrace en COVIDSafe versiones hasta v1.0.17, permiten a un atacante remoto identificar un modelo de dispositivo al observar los datos de una carga útil de texto sin cifrar. Esto permite una reidentificación de los dispositivos, especialmente los modelos de teléfonos pocos comunes o los que se encuentran en situaciones de baja densidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2020

Vulnerabilidad en Bluetooth en las aplicaciones TraceTogether, ABTraceTogether y otras en iOS y Android en OpenTrace en COVIDSafe (CVE-2020-12856)
Fecha de publicación:
18/05/2020
Idioma:
Español
OpenTrace, tal como es usado en COVIDSafe versiones hasta v1.0.17, TraceTogether, ABTraceTogether y otras aplicaciones en iOS y Android, permite a atacantes remotos conducir ataques de reidentificación a largo plazo y posiblemente tener otro impacto no especificado, debido en la manera en como Bluetooth es usado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2020

Vulnerabilidad en el archivo handler_server_info.c en la página About en la configuración del servidor web en Cherokee (CVE-2019-20798)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema de tipo XSS en el archivo handler_server_info.c En Cherokee versiones hasta 1.2.104. La URL requerida es mostrada inapropiadamente en la página About en la configuración predeterminada del servidor web y su panel de administrador. El ataque XSS en el panel de administrador puede ser usado para reconfigurar el servidor y ejecutar comandos arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2022

Vulnerabilidad en el trabajo de un servidor en Cherokee (CVE-2019-20799)
Fecha de publicación:
18/05/2020
Idioma:
Español
En Cherokee versiones hasta 1.2.104, múltiples errores de corrupción de memoria pueden ser usados por un atacante remoto para desestabilizar el trabajo de un servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2022

Vulnerabilidad en archivo handler_cgi.c en la función cherokee_handler_cgi_add_env_pair en una petición GET en Cherokee (CVE-2019-20800)
Fecha de publicación:
18/05/2020
Idioma:
Español
En Cherokee versiones hasta 1.2.104, atacantes remotos pueden activar una escritura fuera de límites en la función cherokee_handler_cgi_add_env_pair en el archivo handler_cgi.c al enviar muchos encabezados de petición, como es demostrado por una petición GET con muchos encabezados "Host: 127.0.0.1".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2022

Vulnerabilidad en el servidor web de transferencia de archivos y el servidor WebSocket en la aplicación Readdle Documents para iOS (CVE-2019-20801)
Fecha de publicación:
18/05/2020
Idioma:
Español
Se detectó un problema en la aplicación Readdle Documents versiones anteriores a 6.9.7 para iOS. El servidor web de transferencia de archivos de aplicación permite que peticiones de tipo cross-origin desde cualquier dominio, y el servidor WebSocket carezcan de control de autorización. Cualquier sitio web puede ejecutar código JavaScript (que accede a los datos de un usuario) por medio de peticiones de tipo cross-origin.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades