Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un archivo de configuración en un mensaje SIP en Grandstream serie HT800 (CVE-2020-5760)
Fecha de publicación:
29/07/2020
Idioma:
Español
Grandstream serie HT800 versiones de firmware 1.0.17.5 y posteriores, es susceptible a una vulnerabilidad de inyección de comandos del Sistema Operativo. Los atacantes remotos no autenticados pueden ejecutar comandos arbitrarios como root mediante el diseño de un archivo de configuración especial y enviado a un mensaje SIP diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2020

Vulnerabilidad en la biblioteca libbalsa/imap/imap-handle.c en la función imap_mbox_connect en una respuesta PREAUTH en GNOME Balsa (CVE-2020-16118)
Fecha de publicación:
29/07/2020
Idioma:
Español
En GNOME Balsa versiones anteriores a 2.6.0, un operador de servidor malicioso o un man in the middle puede desencadenar una desreferencia del puntero NULL y un bloqueo del cliente mediante el envío de una respuesta PREAUTH hacia la función imap_mbox_connect en la biblioteca libbalsa/imap/imap-handle.c
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2023

Vulnerabilidad en el certificado de firma del kernel en la base de datos de arranque seguro en GRUB2 (CVE-2020-15705)
Fecha de publicación:
29/07/2020
Idioma:
Español
GRUB2 presenta un fallo al comprobar la firma del kernel cuando se inicia directamente sin cuña, permitiendo que el arranque seguro sea omitido. Esto solo afecta a los sistemas en los que el certificado de firma del kernel ha sido importado directamente a la base de datos de arranque seguro y la imagen de GRUB es iniciada directamente sin el uso de cuña. Este problema afecta a GRUB2 versiones 2.04 y versiones anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2022

Vulnerabilidad en la función grub_script_function_create() en GRUB2 (CVE-2020-15706)
Fecha de publicación:
29/07/2020
Idioma:
Español
GRUB2 contiene una condición de carrera en la función grub_script_function_create() que conlleva a una vulnerabilidad de uso de la memoria previamente liberada la cual puede ser desencadenada al redefinir una función mientras la misma función ya se está ejecutando, conllevando a una ejecución de código arbitrario y a una omisión de restricción de arranque seguro. Este problema afecta a GRUB2 versiones 2.04 y versiones anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2022

Vulnerabilidad en las funciones grub_cmd_initrd y grub_initrd_init en el componente efilinux de GRUB2 incluido en Debian, Red Hat y Ubuntu (CVE-2020-15707)
Fecha de publicación:
29/07/2020
Idioma:
Español
Se detectaron desbordamientos de enteros en las funciones grub_cmd_initrd y grub_initrd_init en el componente efilinux de GRUB2, como se incluye en Debian, Red Hat y Ubuntu (la funcionalidad no está incluida aguas arriba de GRUB2), conllevando a un desbordamiento del búfer en la región heap de la memoria. Estos podrían ser activados por una gran cantidad de argumentos para el comando initrd en arquitecturas de 32 bits, o un sistema de archivos diseñado con archivos muy grandes en cualquier arquitectura. Un atacante podría usar esto para ejecutar código arbitrario y omitir las restricciones UEFI Secure Boot. Este problema afecta a GRUB2 versiones 2.04 y versiones anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2021

Vulnerabilidad en un valor de encabezado en Zoho ManageEngine Desktop Central (CVE-2020-15588)
Fecha de publicación:
29/07/2020
Idioma:
Español
Se detectó un problema en el lado del cliente de Zoho ManageEngine Desktop Central versión 10.0.552.W. Un servidor controlado por un atacante puede desencadenar un desbordamiento de enteros en InternetSendRequestEx e InternetSendRequestByBitrate que conduce a un desbordamiento de búfer basado en la pila y a la ejecución remota de código con privilegios de SYSTEM. Este problema sólo se produce cuando se inicia una comunicación no fiable con el servidor. En la nube, el Agente siempre se conectará con una comunicación de confianza
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/04/2022

Vulnerabilidad en una línea CAPABILITY en las funciones imapx_free_capability e imapx_connect_to_server en GNOME (CVE-2020-16117)
Fecha de publicación:
29/07/2020
Idioma:
Español
En GNOME evolution-data-server versiones anteriores a 3.35.91, un servidor malicioso puede bloquear el cliente de correo con una desreferencia del puntero NULL mediante el envío de una línea CAPABILITY no válida (por ejemplo, mínima) en un intento de conexión. Esto está relacionado con las funciones imapx_free_capability e imapx_connect_to_server
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/08/2020

Vulnerabilidad en una petición en la interfaz WebPro en el software NEC SV9100 (CVE-2019-20026)
Fecha de publicación:
29/07/2020
Idioma:
Español
La interfaz WebPro en el software NEC SV9100 versiones 7.0 o posteriores, permite a atacantes remotos no autenticados restablecer todos los nombres de usuario y contraseñas existentes a los valores predeterminados por medio de una petición diseñada
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la interfaz de administración WebPro del sistema en Aspire-derived NEC PBXes con el software InMail en los dispositivos SV8100, SV9100, SL1100 y SL2100 (CVE-2019-20028)
Fecha de publicación:
29/07/2020
Idioma:
Español
Aspire-derived NEC PBXes que funcionan con el software InMail, incluidas todas las versiones de los dispositivos SV8100, SV9100, SL1100 y SL2100, permiten el acceso no autenticado de solo lectura a mensajes de voz, saludos y contenido del sistema de respuesta de voz por medio de la interfaz de administración WebPro del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en una POST HTTP en la funcionalidad WebPro de Aspire-derived NEC PBXes (CVE-2019-20029)
Fecha de publicación:
29/07/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios explotable en la funcionalidad WebPro de Aspire-derived NEC PBXes, incluyendo todas las versiones de dispositivos SV8100, SV9100, SL1100 y SL2100. Una POST HTTP especialmente diseñada puede causar una escalada de privilegios resultando en que una cuenta muy privilegiada, incluya un nivel de acceso de desarrollador no documentado
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en credenciales de inicio de sesión estáticas en la interfaz DIM en On Aspire-derived NEC PBXes (CVE-2019-20033)
Fecha de publicación:
29/07/2020
Idioma:
Español
En On Aspire-derived NEC PBXes, incluidas todas las versiones de dispositivos SV8100, puede ser usado un conjunto de credenciales de inicio de sesión estáticas documentadas para acceder a la interfaz DIM
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en puerto LAN en un sistema de correo de voz en de NEC UM8000 (CVE-2019-20030)
Fecha de publicación:
29/07/2020
Idioma:
Español
Un atacante con conocimiento del número de acceso al módem en un sistema de correo de voz de NEC UM8000 puede usar túneles SSH o utilidades estándar de Linux para obtener acceso al puerto LAN del sistema. Todas las versiones están afectadas
Gravedad CVSS v3.1: ALTA
Última modificación:
03/08/2020
Suscribirse a Vulnerabilidades