Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo v4l-conf.c en la función dev_open() en el modo O_RDWR en LinuxTV xawtv (CVE-2020-13696)
Fecha de publicación:
08/06/2020
Idioma:
Español
Se detectó un problema en LinuxTV xawtv versiones anteriores 3.107. La función dev_open() en el archivo v4l-conf.c no realiza comprobaciones suficientes para evitar que un llamador sin privilegios del programa de apertura a rutas de sistema de archivos no deseadas. Esto permite a un atacante local con acceso al programa v4l-conf setuid-root probar la existencia de archivos arbitrarios y activar una apertura en archivos arbitrarios con el modo O_RDWR. Para lograr esto, los componentes de ruta relativa necesitan ser agregados a la ruta del dispositivo, como es demostrado por un comando v4l-conf -c /dev/../root/.bash_history
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en support_type en el plugin drag-and-drop-multiple-file-upload-contact-form-7 para WordPress (CVE-2020-12800)
Fecha de publicación:
08/06/2020
Idioma:
Español
El plugin drag-and-drop-multiple-file-upload-contact-form-7 versiones anteriores a 1.3.3.3 para WordPress, permite una Carga de Archivos Sin Restricciones y una ejecución de código remota al configurar support_type en php% y al cargar un archivo .php%
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/06/2020

Vulnerabilidad en Esquemas de Intent en el navegador web OpenSearch (CVE-2020-8954)
Fecha de publicación:
08/06/2020
Idioma:
Español
El navegador web OpenSearch versión 1.0.4.9, permite el Secuestro de Esquemas de Intent. [un enlace que abre otra aplicación en el navegador puede ser manipulado]
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2020

Vulnerabilidad en una subcadena %0A%0D en el URI /saml/login en el parámetro idp en el panel de control en WhiteSource Application Vulnerability Management (AVM) (CVE-2020-5304)
Fecha de publicación:
08/06/2020
Idioma:
Español
El panel de control en WhiteSource Application Vulnerability Management (AVM) antes de la versión 20.4.1, permite la Inyección de Registros por medio de una subcadena %0A%0D en el parámetro idp en el URI /saml/login. Esto cierra el registro actual y crea un nuevo registro con una línea de datos. El atacante también puede insertar datos maliciosos y entradas falsas
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en una petición de suscripción con una URL de entrega en la especificación UPnP de Open Connectivity Foundation (CVE-2020-12695)
Fecha de publicación:
08/06/2020
Idioma:
Español
La especificación UPnP de Open Connectivity Foundation antes del 17-04-2020 no prohíbe la aceptación de una petición de suscripción con una URL de entrega en un segmento de red diferente a la URL de suscripción de evento totalmente calificada, también se conoce como el problema de CallStranger
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2024

Vulnerabilidad en los descriptores de archivo en el DBusServer en libdbus usado en dbus-daemon en dbus (CVE-2020-12049)
Fecha de publicación:
08/06/2020
Idioma:
Español
Se detectó un problema en dbus versiones posteriores a 1.3.0 e incluyéndola y anteriores a 1.12.18. El DBusServer en libdbus, como es usado en dbus-daemon, filtra los descriptores de archivo cuando un mensaje excede el límite del descriptor de archivo por mensaje. Un atacante local con acceso al bus del sistema D-Bus o al socket AF_UNIX privado de otro servicio del sistema podría utilizar esto para hacer que el servicio del sistema alcance su límite del descriptor de archivos, negando el servicio a los clientes posteriores de D-Bus
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2023

Vulnerabilidad en un archivo ejecutable en el directorio de instalación en WinGate (CVE-2020-13866)
Fecha de publicación:
08/06/2020
Idioma:
Español
WinGate versión v9.4.1.5998, presenta permisos no seguros para el directorio de instalación, lo que permite a usuarios locales alcanzar privilegios mediante el reemplazo de un archivo ejecutable con uno de tipo caballo de Troya
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el envío de formularios hacia cualquier URI en los documentos ODF en LibreOffice (CVE-2020-12803)
Fecha de publicación:
08/06/2020
Idioma:
Español
Los documentos ODF pueden contener formularios para ser completados por parte del usuario. De manera similar a los formularios HTML, los datos del formulario contenido pueden ser enviados hacia un URI, por ejemplo, hacia un servidor web externo. Para crear formularios enviables, ODF implementa el estándar XForms W3C, que permite el envío de datos sin la necesidad de macros u otro scripting activo. LibreOffice versiones anteriores a 6.4.4 permitió que formularios sean enviados hacia cualquier URI, incluyendo los URI file:, permitiendo envíos de formularios para sobrescribir archivos locales. Una interacción del usuario es requerida para enviar el formulario, pero para evitar la posibilidad de documentos maliciosos diseñados para maximizar la posibilidad de envío involuntario del usuario, esta característica ahora se ha limitado a los URI http[s], eliminando la posibilidad de sobrescribir archivos locales. Este problema afecta: Document Foundation LibreOffice versiones anteriores a 6.4.4
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2023

Vulnerabilidad en una petición de la API REST en un navegador en Couchbase Server (CVE-2020-9042)
Fecha de publicación:
08/06/2020
Idioma:
Español
En Couchbase Server versión 6.0, las credenciales almacenadas en memoria caché por un navegador pueden ser usadas para llevar a cabo un ataque de tipo CSRF si un administrador ha usado su navegador para comprobar los resultados de una petición de la API REST
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2020

Vulnerabilidad en un certificado SSL en el componente Netty de Couchbase Server Java SDK (CVE-2020-9040)
Fecha de publicación:
08/06/2020
Idioma:
Español
Couchbase Server Java SDK versiones anteriores a 2.7.1.1, permite a un atacante potencial falsificar un certificado SSL y hacerse pasar por el peer previsto. Un atacante puede aprovechar este fallo al crear un certificado criptográficamente válido que será aceptado por el componente Netty de Java SDK debido a una falta de verificación del nombre de host
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2020

Vulnerabilidad en un archivo .exe en SolarWinds Advanced Monitoring Agentdiversos endpoints en Slowloris en Couchbase Server y Couchbase Sync Gateway (CVE-2020-9041)
Fecha de publicación:
08/06/2020
Idioma:
Español
En Couchbase Server versión 6.0.3 y Couchbase Sync Gateway versiones hasta 2.7.0, los endpoints de administración del Clúster, vistas, consultas y búsqueda de texto completo son vulnerables al ataque de denegación de servicio de Slowloris porque no terminan más agresivamente las conexiones lentas
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2020

Vulnerabilidad en los detalles del artículo en la interfaz externa en los correos enviados desde OTRS (CVE-2020-1775)
Fecha de publicación:
08/06/2020
Idioma:
Español
Los destinatarios de BCC en los correos enviados desde OTRS son visibles en los detalles del artículo en la interfaz externa. Este problema afecta a OTRS: versiones 8.0.3 y anteriores, versiones 7.0.17 y anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2021
Suscribirse a Vulnerabilidades