Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un servidor de base de datos en Jenkins database Plugin (CVE-2020-2241)
Fecha de publicación:
01/09/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins database Plugin versiones 1.6 y anteriores, permite a atacantes conectarse a un servidor de base de datos especificado por el atacante usando credenciales especificadas por el atacante
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2023

Vulnerabilidad en Jenkins database Plugin (CVE-2020-2240)
Fecha de publicación:
01/09/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins database Plugin versiones 1.6 y anteriores, permite a atacantes ejecutar scripts SQL arbitrarios
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en la página "Build with Parameters" en Jenkins Git Parameter Plugin (CVE-2020-2238)
Fecha de publicación:
01/09/2020
Idioma:
Español
Jenkins Git Parameter Plugin versiones 0.9.12 y anteriores, no escapan el campo repository en la página "Build with Parameters", resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado que los atacantes pueden explotar con permiso de Job/Configure
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/11/2023

Vulnerabilidad en un servidor de base de datos en Jenkins database Plugin (CVE-2020-2242)
Fecha de publicación:
01/09/2020
Idioma:
Español
Una falta de comprobación de permisos en Jenkins database Plugin versiones 1.6 y anteriores, permite a atacantes con acceso General y de Lectura a Jenkins conectarse a un servidor de base de datos especificado por el atacante usando credenciales especificadas por el atacante
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en el archivo de configuración global en el controlador de Jenkins en Jenkins Parameterized Remote Trigger Plugin (CVE-2020-2239)
Fecha de publicación:
01/09/2020
Idioma:
Español
Jenkins Parameterized Remote Trigger Plugin versiones 3.1.3 y anteriores, almacena un secreto sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde los atacantes con acceso al sistema de archivos del controlador de Jenkins puedan visualizarlo
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en el modo FILE_UPLOAD_DIRECTORY_PERMISSIONS en los directorios de nivel intermedio en el proceso de carga de archivos en Django (CVE-2020-24583)
Fecha de publicación:
01/09/2020
Idioma:
Español
Se detectó un problema en Django versiones 2.2 anteriores a 2.2.16, versiones 3.0 anteriores a 3.0.10 y versiones 3.1 anteriores a 3.1.1 (cuando es usado Python 3.7+). El modo FILE_UPLOAD_DIRECTORY_PERMISSIONS no fue aplicado a los directorios de nivel intermedio creados en el proceso de carga de archivos. Tampoco se aplicó a directorios estáticos recopilados de nivel intermedio cuando está usando el comando de administración collectstatic
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en los directorios de nivel intermedio de la caché del sistema de archivos en Django (CVE-2020-24584)
Fecha de publicación:
01/09/2020
Idioma:
Español
Se detectó un problema en Django versiones 2.2 anteriores a 2.2.16, versiones 3.0 anteriores a 3.0.10 y versiones 3.1 anteriores a 3.1.1 (cuando es usado Python 3.7+). Los directorios de nivel intermedio de la caché del sistema de archivos tenían la umask estándar del sistema en lugar de 0o077
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el script de inicio de openldap2 en diversos productos de SUSE (CVE-2020-8023)
Fecha de publicación:
01/09/2020
Idioma:
Español
Una vulnerabilidad de aceptación de Datos Extraños No Confiables con Datos Confiables en el script de inicio de openldap2 de SUSE Enterprise Storage 5, SUSE Linux Enterprise Debuginfo 11-SP3, SUSE Linux Enterprise Debuginfo 11-SP4, SUSE Linux Enterprise Point of Sale 11-SP3, SUSE Linux Enterprise Server 11-SECURITY, SUSE Linux Enterprise Server 11-SP4-LTSS, SUSE Linux Enterprise Server 12-SP2-BCL, SUSE Linux Enterprise Server 12-SP2-LTSS, SUSE Linux Enterprise Server 12-SP3-BCL, SUSE Linux Enterprise Server 12-SP3-LTSS, SUSE Linux Enterprise Server 12-SP4, SUSE Linux Enterprise Server 12-SP5, SUSE Linux Enterprise Server 15-LTSS, SUSE Linux Enterprise Server para SAP 12-SP2, SUSE Linux Enterprise Server para SAP 12-SP3, SUSE Linux Enterprise Server para SAP 15, SUSE OpenStack Cloud 7, SUSE OpenStack Cloud 8, SUSE OpenStack Cloud Crowbar 8; openSUSE Leap 15.1, openSUSE Leap 15.2, permite a atacantes locales escalar los privilegios del usuario de ldap a root. Este problema afecta a: openldap2 de SUSE Enterprise Storage 5 versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Debuginfo 11-SP3 versiones anteriores a 2.4.26-0.74.13.1,. openldap2 de SUSE Linux Enterprise Debuginfo 11-SP4 versiones anteriores a 2.4.26-0.74.13.1,. openldap2 de SUSE Linux Enterprise Point of Sale 11-SP3 versiones anteriores a 2.4.26-0.74.13.1,. openldap2-client-openssl1 de SUSE Linux Enterprise Server 11-SECURITY versiones anteriores a 2.4.26-0.74.13.1. openldap2 de SUSE Linux Enterprise Server 11-SP4-LTSS versiones anteriores a 2.4.26-0.74.13.1,. openldap2 de SUSE Linux Enterprise Server 12-SP2-BCL versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Server 12-SP2-LTSS versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Server 12-SP3-BCL versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Server 12-SP3-LTSS versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Server 12-SP4 versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Server 12-SP5 versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Server 15-LTSS versiones anteriores a 2.4.46-9.31.1. openldap2 de SUSE Linux Enterprise Server para SAP 12-SP2 versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Server para SAP 12-SP3 versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE Linux Enterprise Server para SAP 15 versiones anteriores a 2.4.46-9.31.1. openldap2 de SUSE OpenStack Cloud 7 versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE OpenStack Cloud 8 versiones anteriores a 2.4.41-18.71.2. openldap2 de SUSE OpenStack Cloud Crowbar 8 versiones anteriores a 2.4.41-18.71.2. openldap2 de openSUSE Leap 15.1 versiones anteriores a 2.4.46-lp151.10.12.1. openldap2 de openSUSE Leap 15.2 versiones anteriores a 2.4.46-lp152.14.3.1
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2020

Vulnerabilidad en Another Sphere en la función obs-service-download_files de openSUSE Open Build Service (CVE-2018-12475)
Fecha de publicación:
01/09/2020
Idioma:
Español
Una vulnerabilidad de Referencia Controlada Externamente en un Recurso en Another Sphere en la función obs-service-download_files de openSUSE Open Build Service, permite a usuarios autenticados generar peticiones HTTP contra redes internas y, potencialmente, descargar datos que están expuestos allí. Este problema afecta a: openSUSE Open Build Service
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la función setValue en el paquete worksmith (CVE-2020-7725)
Fecha de publicación:
01/09/2020
Idioma:
Español
Todas las versiones del paquete worksmith, son vulnerables a una Contaminación de Prototipo por medio de la función setValue
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/12/2022

Vulnerabilidad en la función setter en el paquete safe-object2 (CVE-2020-7726)
Fecha de publicación:
01/09/2020
Idioma:
Español
Todas las versiones del paquete safe-object2, son vulnerables a una Contaminación de Prototipo por medio de la función setter
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/12/2022

Vulnerabilidad en la función set en el paquete gedi (CVE-2020-7727)
Fecha de publicación:
01/09/2020
Idioma:
Español
Todas las versiones del paquete gedi, son vulnerables a una Contaminación de Prototipo por medio de la función set
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/12/2022
Suscribirse a Vulnerabilidades