Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HTML en la configuración "relaxed" en Sanitize (RubyGem sanitize) (CVE-2020-4054)
Fecha de publicación:
16/06/2020
Idioma:
Español
En Sanitize (RubyGem sanitize) versiones mayor o igual a 3.0.0 y menor a 5.2.1, se presenta una vulnerabilidad de tipo cross-site scripting. Cuando se sanea HTML usando la configuración "relaxed" de Sanitize, o una configuración personalizada que permite determinados elementos, algún contenido en un elemento math o svg puede no ser saneado correctamente incluso si math y svg no están en la lista de permitidos. Es probable que sea vulnerable a este problema si usa la configuración relaxed de Sanitize o una configuración personalizada que permite uno o más de los siguientes elementos HTML: iframe, math, noembed, noframes, noscript, plaintext, script, style, svg, xmp. Usando entradas cuidadosamente diseñada, un atacante puede infiltrar HTML arbitrario por medio de Sanitize, resultando potencialmente en un ataque de tipo XSS (cross-site scripting) u otro comportamiento no deseado cuando ese HTML es renderizado en un navegador. Esto se ha corregido en la versión 5.2.1
Gravedad CVSS v3.1: ALTA
Última modificación:
28/09/2020

Vulnerabilidad en MONITORAPP AIWAF (CVE-2020-14210)
Fecha de publicación:
16/06/2020
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) reflejada en MONITORAPP WAF en la que se puede ejecutar un script al responder a la información de Request URL. Proporciona una función para responder a la información de Request URL cuando se bloquea
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la biblioteca libavformat/aviobuf.c en el archivo dnn_backend_native.c en la función avio_get_str en FFmpeg (CVE-2020-14212)
Fecha de publicación:
16/06/2020
Idioma:
Español
FFmpeg versiones hasta 4.3, presentan un desbordamiento de búfer en la región heap de la memoria en la función avio_get_str en la biblioteca libavformat/aviobuf.c porque el archivo dnn_backend_native.c llama a ff_dnn_load_model_native y se omite una determinada comprobación de índice
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2020

Vulnerabilidad en un mecanismo de comprobación en elementos HTML en Wiki.js (CVE-2020-4052)
Fecha de publicación:
16/06/2020
Idioma:
Español
En Wiki.js anterior a 2.4.107, se presenta un ataque de tipo cross-site scripting almacenado mediante una inyección de plantilla. Esta vulnerabilidad se presenta debido a un mecanismo de comprobación no seguro destinado a insertar etiquetas v-pre en elementos HTML renderizados que contienen llaves rizadas. Al crear una página wiki diseñada, un usuario malicioso de Wiki.js puede organizar un ataque de tipo cross-site scripting almacenado. Esto permite al atacante ejecutar JavaScript malicioso cuando otros usuarios visualizan la página. Esto se ha parcheado en 2.4.107
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2020

Vulnerabilidad en HTTP en un archivo tar en plugins de Helm (CVE-2020-4053)
Fecha de publicación:
16/06/2020
Idioma:
Español
En Helm versiones superiores o iguales a 3.0.0 y menores a 3.2.4, es posible un ataque de salto de ruta al instalar plugins de Helm desde un archivo tar por medio de HTTP. Es posible que un autor de plugin malicioso inyecte una ruta relativa en un archivo de plugin y copie un archivo fuera del directorio previsto. Esto se ha corregido en la versión 3.2.4
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/02/2024

Vulnerabilidad en una clave criptográfica embebida en la configuración de la CLI en FortiManager (CVE-2020-9289)
Fecha de publicación:
16/06/2020
Idioma:
Español
Un uso de una clave criptográfica embebida para cifrar datos de contraseña en la configuración de la CLI en FortiManager versiones 6.2.3 y posteriores, FortiAnalyzer versiones 6.2.3 y posteriores puede permitir a un atacante con acceso a la configuración de la CLI o al archivo de copia de seguridad de la CLI descifrar los datos confidenciales, por medio del conocimiento de la clave embebida
Gravedad CVSS v3.1: ALTA
Última modificación:
06/10/2022

Vulnerabilidad en un archivo o en disco en las credenciales de un usuario VPN SSL en FortiOS (CVE-2019-17655)
Fecha de publicación:
16/06/2020
Idioma:
Español
Una vulnerabilidad de almacenamiento de texto claro en un archivo o en el disco (CWE-313) en FortiOS SSL VPN versión 6.2.0 hasta la versión 6.2.2, versión 6.0.9 y anteriores y FortiProxy versión 2.0.0, versión 1.2.9 y anteriores puede permitir que un atacante recupere las credenciales de un usuario de SSL VPN que haya iniciado sesión en caso de que dicho atacante pueda leer el archivo de sesión almacenado en el sistema del dispositivo objetivo
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2021

Vulnerabilidad en claves privadas en Easergy T300 (CVE-2020-7510)
Fecha de publicación:
16/06/2020
Idioma:
Español
Una CWE-200: Se presenta una vulnerabilidad de Exposición de Información en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante obtener claves privadas
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2022

Vulnerabilidad en una contraseña en Easergy T300 (CVE-2020-7511)
Fecha de publicación:
16/06/2020
Idioma:
Español
Una CWE-327: Se presenta una vulnerabilidad de Uso de un Algoritmo Criptográfico Roto o Riesgoso en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante obtener una contraseña mediante fuerza bruta
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2022

Vulnerabilidad en el envío de paquetes TCP/IP en el Controlador Lógico Modicon M218 (CVE-2020-7502)
Fecha de publicación:
16/06/2020
Idioma:
Español
Una CWE-787: Se presenta una vulnerabilidad de Escritura Fuera de Límites en Modicon M218 Logic Controller (versiones de Firmware 4.3 y anteriores), lo que puede causar una Denegación de Servicio cuando son enviados paquetes específicos TCP/IP hacia el Controlador Lógico Modicon M218
Gravedad CVSS v3.1: ALTA
Última modificación:
31/01/2022

Vulnerabilidad en datos del token xsrf en Easergy T300 (CVE-2020-7503)
Fecha de publicación:
16/06/2020
Idioma:
Español
Una CWE-352: Se presenta una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante ejecutar comandos maliciosos en nombre de un usuario legítimo cuando se interceptan datos del token xsrf
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2020

Vulnerabilidad en el inicio de sesión en Easergy T300 (CVE-2020-7507)
Fecha de publicación:
16/06/2020
Idioma:
Español
Una CWE-400: Se presenta una vulnerabilidad de Consumo de Recursos No controlados en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante iniciar sesión varias veces, resultando en una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2020
Suscribirse a Vulnerabilidades