Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo websites.php en el parámetro name en el módulo Website Manager en el Panel SEO (CVE-2018-14384)
Fecha de publicación:
02/03/2020
Idioma:
Español
El módulo Website Manager en el Panel SEO versión 3.13.0 y anteriores, está afectado por una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado, permitiendo a atacantes autenticados remotos inyectar un script web o HTML arbitrario por medio del parámetro name en el archivo websites.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2020

CVE-2018-11675
Fecha de publicación:
02/03/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en una petición GET en el URI setup.cgi?todo=save_htp_account en la consola de administración web en los dispositivos NETGEAR WNR1000V4 (CVE-2019-20487)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un problema en los dispositivos NETGEAR WNR1000V4 versión 1.1.0.54. Múltiples acciones dentro de la consola de administración web de WNR1000V4 son vulnerables a una petición GET no autenticada (explotable directamente o por medio de un ataque de tipo CSRF), como es demostrado mediante el URI setup.cgi?todo=save_htp_account
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2020

Vulnerabilidad en varias páginas (setup.cgi y adv_index.htm) en la consola de administración web en los dispositivos NETGEAR WNR1000V4 (CVE-2019-20486)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un problema en los dispositivos NETGEAR WNR1000V4 versión 1.1.0.54. Varias páginas (setup.cgi y adv_index.htm) dentro de la consola de administración web son vulnerables a ataques de tipo XSS almacenado, como es demostrado por la configuración del idioma de la interfaz de usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2020

CVE-2020-6764
Fecha de publicación:
02/03/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en En Artica Pandora FMS 7.42 (CVE-2020-8500)
Fecha de publicación:
02/03/2020
Idioma:
Español
** EN DISPUTA ** En Artica Pandora FMS 7.42, los usuarios de Web Admin pueden ejecutar código arbitrario cargando un archivo .php a través del componente Updater o Extension. NOTA: El proveedor informa que esta es la funcionalidad prevista.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2024

Vulnerabilidad en un carácter retorno de carro en un encabezado early-hint en Puma (RubyGem) (CVE-2020-5249)
Fecha de publicación:
02/03/2020
Idioma:
Español
En Puma (RubyGem) versiones anteriores a 3.3 y 3.12.4, si una aplicación que usa Puma permite una entrada no confiable en un encabezado early-hint, un atacante puede usar un carácter retorno de carro para finalizar el encabezado e inyectar contenido malicioso, tales como encabezados adicionales o un cuerpo de respuesta completamente nuevo. Esta vulnerabilidad se conoce como División de Respuesta HTTP. Si bien no es un ataque en sí mismo, la división de la respuesta es un vector para varios otros ataques, tales como un cross-site scripting (XSS). Esto está relacionado con CVE-2020-5247, que corrigió esta vulnerabilidad pero solo para respuestas regulares. Esto se ha corregido en las versiones 4.3.3 y 3.12.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el parámetro sysDNSHost en la interfaz de administración web (setup.cgi) en los dispositivos NETGEAR WNR1000V4 (CVE-2019-20488)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un problema en los dispositivos NETGEAR WNR1000V4 versión 1.1.0.54. Múltiples acciones dentro de la interfaz de administración web (setup.cgi) son vulnerables a una inyección de comandos, permitiendo a atacantes remotos ejecutar comandos arbitrarios, como es demostrado mediante metacaracteres de shell en el parámetro sysDNSHost.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en la interfaz de administración web (setup.cgi) en los dispositivos NETGEAR WNR1000V4 (CVE-2019-20489)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un problema en los dispositivos NETGEAR WNR1000V4 versión 1.1.0.54. La interfaz de administración web (setup.cgi) presenta una omisión de autenticación y otros problemas que finalmente permiten a un atacante comprometer remotamente el dispositivo desde una página web maliciosa. El atacante envía una petición FW_remote.htm&todo=cfg_init sin una cookie, lee el encabezado Set-Cookie en la respuesta no autorizada 401 y luego repite la petición FW_remote.htm&todo=cfg_init con la cookie especificada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en una petición a los archivos mods/_core/users/admins/create.php y mods/_core/users/create_user.php en Atutor (CVE-2015-1583)
Fecha de publicación:
02/03/2020
Idioma:
Español
Múltiples vulnerabilidades de tipo cross-site request forgery (CSRF) en ATutor versión 2.2, permiten a atacantes remotos secuestrar la autenticación de administradores para peticiones que (1) crean una cuenta de administrador por medio de una petición al archivo mods/_core/users/admins/create.php o (2 ) crea una cuenta de usuario mediante una petición al archivo mods/_core/users/create_user.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2020

Vulnerabilidad en una biblioteca DLL de Windows en IDM UltraEdit en sistemas Windows sin parchear (CVE-2017-12580)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un problema en IDM UltraEdit versiones hasta 24.10.0.32. Para explotar la vulnerabilidad, en sistemas Windows sin parchear, un atacante podría incluir en el mismo directorio que el ejecutable afectado una biblioteca DLL usando el nombre de una biblioteca DLL de Windows. Esta biblioteca DLL debe ser precargada por el ejecutable (por ejemplo, "ntmarta.dll"). Cuando el EXE del instalador es ejecutado por el usuario, la biblioteca DLL ubicada en el directorio actual del EXE se cargará en lugar de la biblioteca DLL de Windows, permitiendo al atacante ejecutar código arbitrario en el sistema afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/03/2020

Vulnerabilidad en el empaquetado de la sal de SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15; openSUSE Factory (CVE-2019-18897)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de tipo Symbolic Link (Symlink) Following en el empaquetado de la sal de SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15; openSUSE Factory, permite a atacantes locales escalar los privilegios de la sal de user a root. Este problema afecta a: salt-master de SUSE Linux Enterprise Server 12 versión 2019.2.0-46.83.1 y versiones anteriores. salt-master de SUSE Linux Enterprise Server 15 versión 2019.2.0-6.21.1 y versiones anteriores. salt-master de OpenSUSE Factory versión 2019.2.2-3.1 y versiones anteriores.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2022
Suscribirse a Vulnerabilidades