Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la opción de configuración "Require Node Resp" en el componente file transfer de TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc (CVE-2020-9411)
Fecha de publicación:
09/06/2020
Idioma:
Español
El componente file transfer de TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc, contiene una vulnerabilidad que teóricamente permite a un atacante llevar a cabo transferencias de archivos de red no autorizadas hacia y desde el sistema de archivos accesible al componente afectado. Esta vulnerabilidad es explotable cuando la opción de configuración "Require Node Resp" está establecida en "No". En el caso de una explotación con éxito, el atacante podría leer y escribir teóricamente cualquier archivo en el sistema de archivos accesible para el componente afectado, afectando así completamente la confidencialidad, integridad y disponibilidad del sistema operativo que aloja la implementación del sistema afectado. Las versiones afectadas son TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc: versiones 7.1.0 y posteriores, versión 8.0.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en un dispositivo USB en iOS, iPadOS y macOS Catalina de Apple (CVE-2020-9792)
Fecha de publicación:
09/06/2020
Idioma:
Español
Se abordó un problema de comprobación con un saneamiento de la entrada mejorado. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5. Un dispositivo USB puede ser capaz de causar una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2023

Vulnerabilidad en los permisos de las claves de despliegue en Project Deploy Keys en GitLab CE/EE (CVE-2020-13266)
Fecha de publicación:
09/06/2020
Idioma:
Español
Una autorización no segura en Project Deploy Keys en GitLab CE/EE versiones 12.8 y posteriores hasta 13.0.1, permite a usuarios actualizar los permisos de las claves de despliegue de otros usuarios bajo determinadas condiciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2020

Vulnerabilidad en la importación de una invitación de calendario en macOS Catalina de Apple (CVE-2020-3882)
Fecha de publicación:
09/06/2020
Idioma:
Español
Este problema se abordó con comprobaciones mejoradas. Este problema es corregido en macOS Catalina versión 10.15.5. La importación de una invitación de calendario diseñada con fines maliciosos puede filtrar información del usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el campo host del comando ping en la página Diagnostic en DD-WRT (CVE-2020-13976)
Fecha de publicación:
09/06/2020
Idioma:
Español
** EN DISPUTA ** Se detectó un problema en DD-WRT versiones hasta 16214. La página Diagnostic permite a atacantes remotos ejecutar comandos arbitrarios por medio de metacaracteres de shell en el campo host del comando ping. Una explotación por medio de un ataque de tipo CSRF podría ser posible. NOTA: los encargados del mantenimiento del software consideran que el reporte no es válido porque se refiere a una versión de software anterior, requiere privilegios administrativos y no proporciona acceso más allá del que ya está disponible para usuarios administrativos
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2024

Vulnerabilidad en los archivos archivejson.cgi, objectjson.cgi y statusjson.cgi en el ajuste de configuración "URL for JSON CGI" en Nagios (CVE-2020-13977)
Fecha de publicación:
09/06/2020
Idioma:
Español
Nagios versión 4.4.5, permite a un atacante, que presenta acceso administrativo, cambiar el ajuste de configuración "URL for JSON CGI", para modificar el código de Alert Histogram y Trends por medio de las versiones diseñadas de los archivos archivejson.cgi, objectjson.cgi y statusjson.cgi. NOTA: esta vulnerabilidad ha sido erróneamente asociada con CVE-2020-1408
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un nombre de archivo en la sección de carga de imágenes en OpenCart (CVE-2020-13980)
Fecha de publicación:
09/06/2020
Idioma:
Español
** EN DISPUTA ** OpenCart versión 3.0.3.3, permite a usuarios autenticados remotos conducir ataques de tipo XSS por medio de un nombre de archivo diseñado en la sección de carga de imágenes de los usuarios debido a una falta de codificación de la entidad. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2020-10596. El proveedor declara que "Este no es un problema masivo, ya que aún se requiere que inicie sesión en el administrador"
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2024

Vulnerabilidad en el Theme Module en los archivos .chunk.php en la pantalla Edit Chunk en Monstra CMS (CVE-2020-13978)
Fecha de publicación:
09/06/2020
Idioma:
Español
** EN DISPUTA ** Monstra CMS versión 3.0.4, permite a un atacante, que ya posee acceso administrativo para modificar archivos .chunk.php en la pantalla Edit Chunk, para ejecutar comandos arbitrarios del sistema operativo por medio del Theme Module al visitar el URI admin/index.php?id=themes&action=edit_chunk. NOTA: no existe indicios de que la funcionalidad Edit Chunk esté destinada a impedir que un administrador use la funcionalidad exec de PHP
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2024

Vulnerabilidad en el Network Block Device (NBD) en QEMU (CVE-2020-10761)
Fecha de publicación:
09/06/2020
Idioma:
Español
Se encontró un problema de fallo de aserción en el Network Block Device (NBD) en todas las versiones de QEMU anteriores a QEMU versión 5.0.1. Este fallo ocurre cuando un cliente nbd envía una petición que cumple con las especificaciones que está cerca del límite de la longitud máxima permitida de la petición. Un cliente nbd remoto podría usar este fallo para bloquear el servidor qemu-nbd resultando en una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en mremap en DAX Huge Pages en el kernel de Linux (CVE-2020-10757)
Fecha de publicación:
09/06/2020
Idioma:
Español
Se encontró un fallo en el kernel de Linux en las versiones posteriores a 4.5-rc1, en la manera en que mremap manejó DAX Huge Pages. Este fallo permite a un atacante local con acceso a un almacenamiento habilitado para DAX escalar sus privilegios en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2024

Vulnerabilidad en múltiples SONY Wireless Headphones (CVE-2020-5589)
Fecha de publicación:
09/06/2020
Idioma:
Español
SONY Wireless Headphones WF-1000X, WF-SP700N, WH-1000XM2, WH-1000XM3, WH-CH700N, WH-H900N, WH-XB700, WH-XB900N, WI-1000X, WI-C600N y WI-SP600N con versiones de firmware anteriores a la 4.5.2 tienen la vulnerabilidad de que alguien dentro del rango del Bluetooth pueda hacer el emparejamiento Bluetooth y operar como cambiar el volumen del producto
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2020

Vulnerabilidad en el archivo drivers/tty/vt/keyboard.c en la función k_ascii en el kernel de Linux (CVE-2020-13974)
Fecha de publicación:
09/06/2020
Idioma:
Español
Se detectó un problema en el kernel de Linux versión 4.4 hasta la versión 5.7.1. En el archivo drivers/tty/vt/keyboard.c presenta un desbordamiento de enteros si se llama a la función k_ascii varias veces seguidas, también se conoce como CID-b86dab054059. NOTA: Los miembros de la comunidad argumentan que el desbordamiento de números enteros no conduce a un problema de seguridad en este caso
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2023
Suscribirse a Vulnerabilidades