Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en El instalador it zoom para windows, (ZoomInstallerFull.msi) (CVE-2020-11443)
Fecha de publicación:
04/05/2020
Idioma:
Español
El instalador it zoom para windows, (ZoomInstallerFull.msi) anterior a la versión 4.6.10 elimina ficheros localizados en %APPDATA%\Zoom antes de instalar una actualización de la versión del cliente. Los usuarios comunes pueden escribir en el directorio, y puede escribir links a otros directorios en la máquina. Así el instalador dirige con privilegios SYSTEM y sigue estos links, un usuario puede causar que al instalador que elimine los ficheros que de otra manera no pueden ser eliminados por nosotros.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la aplicación móvil OKLOK para Fingerprint Bluetooth Padlock FB50. (CVE-2020-10876)
Fecha de publicación:
04/05/2020
Idioma:
Español
La aplicación móvil complementaria OKLOK (versión 3.1.1) para Fingerprint Bluetooth Padlock FB50 (versión 2.3), no implementa correctamente su tiempo de espera en el código de verificación de cuatro dígitos que se requiere para restablecer las contraseñas, ni restringe apropiadamente los intentos de verificación excesiva. Esto permite a un atacante forzar bruscamente el código de verificación de cuatro dígitos para omitir la verificación de correo electrónico y cambiar la contraseña de una cuenta víctima.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/05/2020

Vulnerabilidad en petición URL en IBM Spectrum Protect Plus. (CVE-2020-4209)
Fecha de publicación:
04/05/2020
Idioma:
Español
IBM Spectrum Protect Plus versiones10.1.0 hasta la versión 10.1.5, podría permitir a un atacante remoto saltar directorios del sistema. Un atacante podría enviar una petición URL especialmente diseñada que contenga secuencias "dot dot" (/../) para crear archivos arbitrarios en el sistema. IBM X-Force ID: 175019.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/05/2020

Vulnerabilidad en la función com.tp_link.eap.web.portal.PortalController.getAdvertiseFile en TP-Link Omada Controller Software. (CVE-2020-12475)
Fecha de publicación:
04/05/2020
Idioma:
Español
TP-Link Omada Controller Software versión 3.2.6, permite un Salto de Directorio para leer archivos arbitrarios por medio de la función com.tp_link.eap.web.portal.PortalController.getAdvertiseFile en el archivo /opt/tplink/EAPController/lib/eap-web-3.2.6.jar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/05/2020

Vulnerabilidad en la interfaz de administración en OpenVPN Access Server. (CVE-2020-11462)
Fecha de publicación:
04/05/2020
Idioma:
Español
Se ha descubierto un problema en OpenVPN Access Server versiones anteriores a la versión 2.7.0 y versiones 2.8.x anteriores a la versión 2.8.3. Con la interfaz RPC2 con todas las funcionalidades activadas, es posible conseguir un estado DoS temporal de la interfaz de administración cuando se envía una carga útil XML Entity Expansion (XEE) hacia la interfaz RPC2 basada en XMLRPC. La duración del estado DoS depende de la memoria disponible y de la velocidad de una CPU. El modo restringido por defecto de la interfaz RPC2 NO es vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2020

Vulnerabilidad en la clave de cifrado en algunos dispositivos TP-Link. (CVE-2020-12110)
Fecha de publicación:
04/05/2020
Idioma:
Español
Determinados dispositivos TP-Link tienen una Clave de Cifrado Embebida. Esto afecta a NC200 versión 2.1.9 build 200225, N210 versión 1.0.9 build 200304, NC220 versión 1.3.0 build 200304, NC230 versión 1.3.0 build 200304, NC250 versión 1.3.0 build 200304, NC260 versión 1.5.2 build 200304, y NC450 versión 1.5.3 build 200304.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/05/2020

Vulnerabilidad en el archivo lists/admin/template.php en phpList. (CVE-2020-12639)
Fecha de publicación:
04/05/2020
Idioma:
Español
phpList versiones anteriores a la versión 3.5.3, permiten un ataque de tipo XSS, dando como resultado una ascenso de privilegios, por medio del archivo lists/admin/template.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2020

Vulnerabilidad en la aplicación móvil OKLOK para el Fingerprint Bluetooth Padlock FB50 (CVE-2020-8790)
Fecha de publicación:
04/05/2020
Idioma:
Español
La aplicación móvil complementaria OKLOK (versión 3.1.1) para el Fingerprint Bluetooth Padlock FB50 (versión 2.3), tiene requisitos de contraseña débiles combinados con una restricción inapropiada de intentos de autenticación excesivos, que podría permitir a un atacante remoto detectar las credenciales de usuario y obtener acceso mediante un ataque de fuerza bruta.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en la aplicación móvil OKLOK para el Fingerprint Bluetooth Padlock FB50 (CVE-2020-8791)
Fecha de publicación:
04/05/2020
Idioma:
Español
La aplicación móvil complementaria OKLOK (versión 3.1.1) para el Fingerprint Bluetooth Padlock FB50 (versión 2.3), permite a atacantes remotos enviar peticiones de la API usando tokens autenticados pero no autorizados, resultando en problemas de IDOR. Un atacante remoto puede usar su propio token para hacer peticiones de la API no autorizadas en nombre de IDORs de usuario arbitrarios. Los ID de usuario válidos y actuales son triviales de adivinar debido a la convención de asignación de ID de usuario usada por la aplicación. Un atacante remoto podría recolectar direcciones de correo electrónico, hashes de contraseñas MD5 sin sal, nombres de candados asignados por el propietario y nombres de huellas dactilares asignados por el propietario para cualquier rango de ID de usuario arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en la aplicación móvil OKLOK para el Fingerprint Bluetooth Padlock FB50 (CVE-2020-8792)
Fecha de publicación:
04/05/2020
Idioma:
Español
La aplicación móvil OKLOK (versión 3.1.1) para el Fingerprint Bluetooth Padlock FB50 (versión 2.3), tiene un problema de exposición de información. En la aplicación para móviles, un intento de añadir un candado ya vinculado por su código de barras revela la dirección de correo electrónico de la cuenta a la que está vinculado el candado, así como el nombre del mismo. Las entradas válidas del código de barras pueden adivinarse fácilmente porque las cadenas del código de barras siguen a un patrón predecible. Las entradas de códigos de barras válidas adivinadas correctamente e introducidas por medio de la interfaz de la aplicación divulgan las direcciones de correo electrónico y los nombres de los candados de los usuarios arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el parámetro query de api2/swis/query?lang=en-us&swAlertOnError=false en Orion Platform de SolarWinds (CVE-2019-12864)
Fecha de publicación:
04/05/2020
Idioma:
Español
Orion Platform versión 2018.4 HF3 de SolarWinds (NPM versión 12.4, NetPath versión 1.1.4), es vulnerable a una Filtración de Información, debido al manejo inapropiado de errores con rastros de pila, como es demostrado al detectar una ruta completa en un Error de Servidor Interno 500 mediante el parámetro query de api2/swis/query?lang=en-us&swAlertOnError=false.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en CoSoSys Endpoint Protector. (CVE-2019-13285)
Fecha de publicación:
04/05/2020
Idioma:
Español
CoSoSys Endpoint Protector versión 5.1.0.2, permite una Inyección del Encabezado Host.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/05/2020
Suscribirse a Vulnerabilidades