Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la autenticación de sesión de red en BD Alaris PC Unit, Model 8015 y BD Alaris Systems Manager (CVE-2020-25165)
Fecha de publicación:
13/11/2020
Idioma:
Español
BD Alaris PC Unit, Model 8015, versiones 9.33.1 y anteriores y BD Alaris Systems Manager, versiones 4.33 y anteriores Los productos afectados son susceptibles a una vulnerabilidad de autenticación de sesión de red dentro del proceso de autenticación entre versiones especificadas del BD Alaris PC Unit y del BD Alaris Systems Manager. Si es explotado, un atacante podría llevar a cabo un ataque de denegación de servicio en el BD Alaris PC Unit para modificar unos encabezados de configuración de los datos en tránsito. Un ataque de denegación de servicio podría conllevar a una perdida en la capacidad inalámbrica del BD Alaris PC Unit, resultando en el funcionamiento manual del PC Unit
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2020

Vulnerabilidad en una petición HTTP en dependdabot-common y dependdabot-go_modules en la URL en Dependabot-Core para Ruby (CVE-2020-26222)
Fecha de publicación:
13/11/2020
Idioma:
Español
Dependabot es un conjunto de paquetes para la administración automatizada de dependencias para Ruby, JavaScript, Python, PHP, Elixir, Rust, Java, .NET, Elm y Go. En Dependabot-Core desde la versión 0.119.0.beta1 versiones anteriores a 0.125.1, se presenta una vulnerabilidad de ejecución de código remota en dependdabot-common y dependdabot-go_modules cuando el nombre de una rama de origen contiene código bash inyectable malicioso. Por ejemplo, si Dependabot está configurado para usar el siguiente nombre de rama de origen: "/$({curl,127.0.0.1})", Dependabot realizará una petición HTTP a la siguiente URL: 127.0.0.1 cuando clona el repositorio de origen. La corrección fue aplicada en versión 0.125.1. Como solución alternativa, se puede escapar el nombre de la rama antes de pasarlo a la clase Dependabot::Source
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2020

Vulnerabilidad en la función CConnectionTransportUDPBase::Received_Data() en Game Networking Sockets de Valve (CVE-2020-6019)
Fecha de publicación:
13/11/2020
Idioma:
Español
Game Networking Sockets de Valve versiones anteriores a v1.2.0, maneja inapropiadamente unos mensajes de estadísticas en línea en la función CConnectionTransportUDPBase::Received_Data(), conllevando a una excepción lanzada desde libprotobuf y resultando en un bloqueo
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2022

Vulnerabilidad en la página web en el archivo /uno/central.php en el parámetro "lang" en CMSuno (CVE-2020-25538)
Fecha de publicación:
13/11/2020
Idioma:
Español
Un atacante autenticado puede inyectar código malicioso en el parámetro "lang" en el archivo /uno/central.php en CMSuno versión 1.6.2 y ejecutar este código PHP en la página web. De esta manera, el atacante puede tomar el control del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en un "username" en CMSuno (CVE-2020-25557)
Fecha de publicación:
13/11/2020
Idioma:
Español
En CMSuno versión 1.6.2, un atacante puede inyectar código PHP malicioso como un "username" mientras cambia su nombre de usuario y contraseña. Después de eso, cuando el atacante inicie sesión en la aplicación, se ejecutará el código del atacante. Como resultado de esta vulnerabilidad, el usuario autenticado puede ejecutar un comando en el servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo app/admin/controller/Ajax.php en el parámetro "table" en fastadmin-tp6 (CVE-2020-21667)
Fecha de publicación:
13/11/2020
Idioma:
Español
En fastadmin-tp6 versión v1.0, en el archivo app/admin/controller/Ajax.php, el parámetro "table" pasado no es filtrado, así que puede ser pasado un parámetro malicioso para una inyección SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2020

Vulnerabilidad en la comprobación de la entrada en el NIO 50 (CVE-2020-25151)
Fecha de publicación:
13/11/2020
Idioma:
Español
El producto afectado no comprueba apropiadamente la entrada, lo que puede permitir a un atacante ejecutar un ataque de denegación de servicio en el NIO 50 (todas las versiones)
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2020

Vulnerabilidad en información confidencial no cifrada en el NIO 50 (CVE-2020-25155)
Fecha de publicación:
13/11/2020
Idioma:
Español
El producto afectado transmite información confidencial no cifrada, lo que puede permitir a un atacante acceder a esta información en el NIO 50 (todas las versiones)
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2020

Vulnerabilidad en el análisis de las matrices de repeticiones de valores comprimidos en archivos binarios USD en Pixar OpenUSD (CVE-2020-6155)
Fecha de publicación:
13/11/2020
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento de la pila en Pixar OpenUSD versión 20.05, mientras se analizan las matrices de repeticiones de valores comprimidos en archivos binarios USD. Un archivo malformado especialmente diseñado puede desencadenar un desbordamiento de la pila, lo que puede resultar en una ejecución de código remota. Para desencadenar esta vulnerabilidad, la víctima necesita acceder a un archivo malformado proporcionado por el atacante
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2022

Vulnerabilidad en el análisis de secciones comprimidas en archivos binarios USD en Pixar OpenUSD (CVE-2020-6156)
Fecha de publicación:
13/11/2020
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento de la pila en Pixar OpenUSD versión 20.05, cuando el software analiza secciones comprimidas en archivos binarios USD. Para desencadenar esta vulnerabilidad, la víctima necesita abrir un archivo malformado proporcionado por el atacante en un índice de tokens de elementos de ruta en formato de archivo USDC
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2022

Vulnerabilidad en la comprobación de la entrada en algunos productos de Huawei (CVE-2020-9127)
Fecha de publicación:
13/11/2020
Idioma:
Español
Algunos productos de Huawei presentan una vulnerabilidad de inyección de comandos. Debido a una comprobación insuficiente de la entrada, un atacante con privilegios elevados puede inyectar algunos códigos maliciosos en algunos archivos de los productos afectados. Una explotación con éxito puede causar una inyección de comandos. Las versiones del producto afectadas incluyen: NIP6300 versiones V500R001C30,V500R001C60; NIP6600 versiones V500R001C30,V500R001C60; Secospace USG6300 versiones V500R001C30,V500R001C60; Secospace USG6500 versiones V500R001C30,V500R001C60; Secospace USG6600 versiones V500R001C30,V500R001C60; USG9500 versiones V500R001C30,V500R001C60
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el funcionamiento del búfer en HUAWEI Mate 30 (CVE-2020-9129)
Fecha de publicación:
13/11/2020
Idioma:
Español
HUAWEI Mate 30 versiones anteriores a 10.1.0.159(C00E159R7P2), presentan una vulnerabilidad de funcionamiento inapropiado del búfer. Debido a restricciones inapropiadas, unos atacantes locales con privilegios elevados pueden explotar la vulnerabilidad para causar un desbordamiento de la pila del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades