Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en plataformas con hardware Intel QAT en TMM en el tráfico TLS en BIG-IP (CVE-2020-5872)
Fecha de publicación:
30/04/2020
Idioma:
Español
En BIG-IP versiones 14.1.0 hasta 14.1.2.3, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.1 y 12.1.0 hasta 12.1.4.1, cuando se procesa el tráfico TLS con aceleración criptográfica de hardware habilitada en plataformas con hardware Intel QAT, el Traffic Management Microkernel (TMM) puede dejar de responder y causar un evento de conmutación por error.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2020

Vulnerabilidad en el acceso remoto en HPE Smart Update Manager (SUM). (CVE-2020-7136)
Fecha de publicación:
30/04/2020
Idioma:
Español
Una vulnerabilidad de seguridad en HPE Smart Update Manager (SUM) anterior a la versión 8.5.6, podría permitir un acceso remoto no autorizado. Hewlett Packard Enterprise ha proporcionado una actualización de software para resolver esta vulnerabilidad en HPE Smart Update Manager (SUM) anterior a la versión 8.5.6. Por favor, visite el Centro de Soporte de HPE en https://support.hpe.com/hpesc/public/home para descargar la última versión de HPE Smart Update Manager (SUM). Descargue la última versión de HPE Smart Update Manager (SUM) o descargue el último Service Pack para ProLiant (SPP).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2020

Vulnerabilidad en las peticiones no reveladas en los servidores virtuales HTTP/2 en BIG-IP. (CVE-2020-5871)
Fecha de publicación:
30/04/2020
Idioma:
Español
En BIG-IP versiones 14.1.0 hasta 14.1.2.3, las peticiones no reveladas pueden conllevar a una denegación de servicio (DoS) cuando son enviadas hacia los servidores virtuales HTTP/2 de BIG-IP. El problema puede ocurrir cuando los cifrados, que han sido puestos en una lista negra por el RFC HTTP/2, son usados en los servidores de backend. Este es un problema del plano de datos. No hay una exposición del plano de control.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2020

Vulnerabilidad en el IoT Device Management Server thinx-device-api (CVE-2020-11015)
Fecha de publicación:
30/04/2020
Idioma:
Español
Se ha revelado una vulnerabilidad en thinx-device-api IoT Device Management Server antes de la versión 2.5.0. La dirección MAC del dispositivo puede ser falsificada. Esto significa que las solicitudes de registro inicial sin UDID y la dirección MAC falsificada pueden pasar a crear un nuevo UDID con la misma dirección MAC. El impacto total debe ser revisado más a fondo. Se aplica a todos los usuarios (principalmente ESP8266/ESP32). Esto ha sido corregido en la versión de firmware 2.5.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/10/2022

Vulnerabilidad en la función glob en glibc (CVE-2020-1752)
Fecha de publicación:
30/04/2020
Idioma:
Español
Una vulnerabilidad de uso de la memoria previamente liberada introducida en glibc versiones anteriores a la versión 2.14, se descubrió en la manera en que se llevó a cabo la expansión de tilde. Las rutas de directorios que contenían una tilde inicial seguida de un nombre de usuario válido estaban afectadas por este problema. Un atacante local podría explotar este fallo creando una ruta especialmente diseñada que, al ser procesada por la función glob, podría conllevar a una ejecución de código arbitraria. Esto fue corregido en la versión 2.32.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en SQLiteODBC. (CVE-2020-12050)
Fecha de publicación:
30/04/2020
Idioma:
Español
SQLiteODBC versión 0.9996, tal y como está empaquetado para determinadas distribuciones de Linux como la versión 0.9996-4, tiene una condición de carrera que conlleva a una escalada de privilegios root porque cualquier usuario puede reemplazar un archivo /tmp/sqliteodbc$$ con nuevos contenidos que causan una carga de una biblioteca arbitraria.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la clase ClearFuncs en el proceso Salt-master en SaltStack Salt (CVE-2020-11652)
Fecha de publicación:
30/04/2020
Idioma:
Español
Se descubrió un problema en SaltStack Salt versiones anteriores a la versión 2019.2.4 y versiones 3000 anteriores a 3000.2. La clase ClearFuncs del proceso Salt-master permite acceder a algunos métodos que sanean inapropiadamente las rutas. Estos métodos permiten acceso a directorios arbitrarios a usuarios autenticados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2025

Vulnerabilidad en una instalación de una colección ansible-galaxy en ansible-engine (CVE-2020-11651)
Fecha de publicación:
30/04/2020
Idioma:
Español
Se ha descubierto un fallo de salto de archivo en todas las versiones de ansible-engine 2.9.x anteriores a la versión 2.9.7, cuando se ejecuta una instalación de una colección ansible-galaxy. Al extraer un archivo .tar.gz de la colección, el directorio es creado sin sanear el nombre del archivo. Un atacante podría aprovechar para sobrescribir cualquier archivo dentro del sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2025

Vulnerabilidad en una instalación de una colección ansible-galaxy en ansible-engine (CVE-2020-10691)
Fecha de publicación:
30/04/2020
Idioma:
Español
Se ha detectado un fallo de salto de archivo en todas las versiones de ansible-engine 2.9.x anteriores a 2.9.7, cuando se ejecuta una instalación de una colección ansible-galaxy. Al extraer un archivo .tar.gz de la colección, el directorio es creado sin sanear el nombre del archivo. Un atacante podría aprovechar para sobrescribir cualquier archivo dentro del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el plugin LearnPress Wordpress. (CVE-2020-6010)
Fecha de publicación:
30/04/2020
Idioma:
Español
El plugin LearnPress Wordpress versiones anteriores e incluyendo a 3.2.6.7, es vulnerable a una Inyección SQL.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/07/2021

Vulnerabilidad en en los archivos mailhive/cloudbeez/cloudloader.php y mailhive/cloudbeez/cloudloader_core.php en el plugin MailBeez para ZenCart (CVE-2020-6579)
Fecha de publicación:
30/04/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en los archivos mailhive/cloudbeez/cloudloader.php y mailhive/cloudbeez/cloudloader_core.php en el plugin MailBeez para ZenCart versiones anteriores a la versión 3.9.22, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro cloudloader_mode.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/05/2020

Vulnerabilidad en BMC Control-M/Agente. (CVE-2019-19216)
Fecha de publicación:
30/04/2020
Idioma:
Español
BMC Control-M/Agente versión 7.0.00.000, tiene una Copia de Archivos No Segura.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades