Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en nombres de canales en el módulo mail en Odoo Community y Odoo Enterprise (CVE-2018-15638)
Fecha de publicación:
22/12/2020
Idioma:
Español
Un problema de tipo cross-site scripting (XSS) en el módulo mail en Odoo Community versiones 13.0 y anteriores y Odoo Enterprise versiones 13.0 y anteriores, permite a atacantes remotos inyectar un script web arbitrario en el navegador de una víctima por medio de nombres de canales diseñados
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2020

Vulnerabilidad en nombres de archivo adjuntos en el módulo "document" en Odoo Community y Odoo Enterprise (CVE-2018-15633)
Fecha de publicación:
22/12/2020
Idioma:
Español
Un problema de tipo cross-site scripting (XSS) en el módulo "document" en Odoo Community versiones 11.0 y anteriores y Odoo Enterprise versiones 11.0 y anteriores, permite a atacantes remotos inyectar un script web arbitrario en el navegador de una víctima por medio de nombres de archivo adjuntos diseñados
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2020

Vulnerabilidad en la especificación del objeto proto en el paquete multi-ini (CVE-2020-28448)
Fecha de publicación:
22/12/2020
Idioma:
Español
Esto afecta al paquete multi-ini versiones anteriores a 2.1.1. Es posible contaminar el prototipo de un objeto al especificar el objeto proto como parte de una matriz
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/12/2022

Vulnerabilidad en la especificación del objeto constructor.proto en el paquete multi-ini (CVE-2020-28460)
Fecha de publicación:
22/12/2020
Idioma:
Español
Esto afecta al paquete multi-ini versiones anteriores a 2.1.2. Es posible contaminar el prototipo de un objeto al especificar el objeto constructor.proto como parte de una matriz. Esto es una omisión de CVE-2020-28448
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2022

Vulnerabilidad en el "os/exec" de Go en Hugo (CVE-2020-26284)
Fecha de publicación:
21/12/2020
Idioma:
Español
Hugo es un generador de sitios estáticos rápido y flexible integrado en Go. Hugo depende del "os/exec" de Go para determinadas funcionalidades por ejemplo, para la representación de documentos Pandoc si estos binarios se encuentran en el sistema "%PATH%" en Windows. En Hugo anterior a versión 0.79.1, si un archivo malicioso con el mismo nombre ("exe" o "bat") se encuentra en el directorio de trabajo actual en el momento de ejecutar "hugo", el comando malicioso será invocado en lugar del sistema. Los usuarios de Windows que ejecutan "hugo" dentro de sitios de Hugo no confiables están afectados. Los usuarios deben actualizar a Hugo versión v0.79.1. Aparte de evitar los sitios de Hugo que no confiables, no existe una solución alternativa
Gravedad CVSS v3.1: ALTA
Última modificación:
23/12/2020

Vulnerabilidad en el archivo PushToWatch.php en la función onSkinAddFooterLinks en la extensión PushToWatch para MediaWiki (CVE-2020-35626)
Fecha de publicación:
21/12/2020
Idioma:
Español
Se detectó un problema en la extensión PushToWatch para MediaWiki versiones hasta 1.35.1. El formulario principal no implementó un token anti-CSRF y, por lo tanto, era completamente vulnerable a los ataques de tipo CSRF contra la función onSkinAddFooterLinks en el archivo PushToWatch.php
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2020

Vulnerabilidad en el archivo SpecialGlobalUsage.php en la función formatItem en la variable $page en la extensión GlobalUsage para MediaWiki (CVE-2020-35622)
Fecha de publicación:
21/12/2020
Idioma:
Español
Se detectó un problema en la extensión GlobalUsage para MediaWiki versiones hasta 1.35.1. El archivo SpecialGlobalUsage.php llama a la función WikiMap::makeForeignLink de forma no segura. La variable $page dentro de la función formatItem no se escapaba apropiadamente, lo que permitía un XSS en determinadas condiciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2020

Vulnerabilidad en la lista de votos non-admin en la extensión SecurePoll para MediaWik (CVE-2020-35624)
Fecha de publicación:
21/12/2020
Idioma:
Español
Se detectó un problema en la extensión SecurePoll para MediaWiki versiones hasta 1.35.1. La lista de votos non-admin contiene una marca de tiempo de votación completa, que puede proporcionar pistas no deseadas sobre cómo se desarrolló un proceso de votación
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2020

Vulnerabilidad en un nombre de usuario en la extensión CasAuth para MediaWiki (CVE-2020-35623)
Fecha de publicación:
21/12/2020
Idioma:
Español
Se detectó un problema en la extensión CasAuth para MediaWiki versiones hasta 1.35.1. Debido a una comprobación inapropiada del nombre de usuario, permitió la suplantación del usuario con manipulaciones triviales de determinados caracteres dentro de un nombre de usuario determinado. Un usuario común es capaz de iniciar sesión como un "bureaucrat user" que presenta un nombre de usuario similar, como es demostrado por los nombres de usuario que solo difieren en (1) símbolos de anulación bidireccionales o (2) espacios en blanco
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en un comentario HTML en una plantilla Smarty en el comando \MediaWiki\Shell\Shell:: en la extensión Widgets para MediaWiki (CVE-2020-35625)
Fecha de publicación:
21/12/2020
Idioma:
Español
Se detectó un problema en la extensión Widgets para MediaWiki versiones hasta 1.35.1. Cualquier usuario con la capacidad de editar páginas dentro del espacio de nombres de Widgets podría llamar a cualquier función estática dentro de cualquier clase (definida en PHP o MediaWiki) por medio de un comentario HTML diseñado, relacionado con una plantilla Smarty. Por ejemplo, una persona del grupo Widget Editors podría usar \MediaWiki\Shell\Shell::command dentro de un comentario
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la descompresión de un tarball en la herramienta de despliegue de servidores de bases de datos MySQL DBdeployer (CVE-2020-26277)
Fecha de publicación:
21/12/2020
Idioma:
Español
DBdeployer es una herramienta que despliega servidores de bases de datos MySQL fácilmente. En DBdeployer versiones anteriores a 1.58.2, los usuarios que descomprimen un tarball pueden usar un tarball paquetizado maliciosamente que contiene enlaces simbólicos para archivos externos al objetivo. En tal escenario, un atacante podría inducir a dbdeployer a escribir en un archivo del sistema, alterando así las defensas del ordenador. Para que el ataque tenga éxito, los siguientes factores deben contribuir: 1) El usuario está registrado como root. Si bien dbdeployer puede ser usado como root, fue diseñado para ejecutarse como un usuario sin privilegios. 2) El usuario ha tomado un tarball de una fuente no segura, sin probar el checksum. Cuando el tarball se recupera por medio de dbdeployer, el checksum se compara antes de intentar desempaquetar. Esto se ha abordado en la versión 1.58.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/12/2020

Vulnerabilidad en el primer parámetro en una petición POST en el servidor HTTP MiniWeb (CVE-2020-29596)
Fecha de publicación:
21/12/2020
Idioma:
Español
El servidor HTTP MiniWeb versión 0.8.19, permite a atacantes remotos causar una denegación de servicio (bloqueo del demonio) mediante un nombre largo para el primer parámetro en una petición POST
Gravedad CVSS v3.1: ALTA
Última modificación:
23/12/2020
Suscribirse a Vulnerabilidades