Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el campo contact_autologin_key en la base de datos en Centreon Web (CVE-2019-15299)
Fecha de publicación:
24/02/2020
Idioma:
Español
Se detectó un problema en Centreon Web versiones hasta 19.04.3. Cuando un usuario cambia su contraseña sobre su página de perfil, el campo contact_autologin_key en la base de datos pasa a blanco cuando debería ser NULL. Esto hace posible una omisión de autenticación parcialmente.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/02/2020

Vulnerabilidad en la interfaz web en McAfee Web Advisor (WA) (CVE-2019-3670)
Fecha de publicación:
24/02/2020
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota en la interfaz web en McAfee Web Advisor (WA) versiones 8.0.34745 y anteriores, permite a un atacante no autenticado remoto ejecutar código arbitrario por medio de un ataque de tipo cross site scripting.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el URL /tools/developerConsoleOperations.jsp en el parámetro _transaction en loadFile de Remote Procedure Call (RPC) en SmartClient (CVE-2020-9353)
Fecha de publicación:
23/02/2020
Idioma:
Español
Se detectó un problema en SmartClient versión 12.0. El loadFile de Remote Procedure Call (RPC) proporcionado mediante la funcionalidad de la consola en el URL /tools/developerConsoleOperations.jsp (o /isomorphic/IDACall) está afectado por la Inclusión de Archivos Locales No Autenticados por medio de secuencias de salto de directorio en el elemento XML elem en el parámetro _transaction.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2024

Vulnerabilidad en las opciones extra en danfruehauf NetworkManager-ssh (CVE-2020-9355)
Fecha de publicación:
23/02/2020
Idioma:
Español
danfruehauf NetworkManager-ssh versiones anteriores a 1.2.11, permite una escalada de privilegios porque las opciones extra son manejadas inapropiadamente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/01/2022

Vulnerabilidad en una petición POST en el archivo /tools/developerConsoleOperations.jsp en la función downloadWSDL en el parámetro _transaction en SmartClient (CVE-2020-9352)
Fecha de publicación:
23/02/2020
Idioma:
Español
Se detectó un problema en SmartClient versión 12.0. Una explotación no autenticada de tipo XXE ciego puede ocurrir en la función downloadWSDL mediante el envío de una petición POST en el archivo /tools/developerConsoleOperations.jsp con una carga útil válida en el parámetro _transaction.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/08/2024

Vulnerabilidad en una petición POST en el archivo /tools/developerConsoleOperations.jsp o /isomorphic/IDACall en el parámetro _transaction en SmartClient (CVE-2020-9351)
Fecha de publicación:
23/02/2020
Idioma:
Español
Se detectó un problema en SmartClient versión 12.0. Si un atacante no autenticado lleva a cabo una petición POST en el archivo /tools/developerConsoleOperations.jsp o /isomorphic/IDACall con datos XML malformado en el parámetro _transaction, el servidor responde con un error detallado que muestra dónde reside la aplicación (la ruta absoluta).
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2024

Vulnerabilidad en el Remote Procedure Call (RPC) en la URL /tools/developerConsoleOperations.jsp en SmartClient (CVE-2020-9354)
Fecha de publicación:
23/02/2020
Idioma:
Español
Se detectó un problema en SmartClient versión 12.0. El Remote Procedure Call (RPC) proporcionado por la funcionalidad de la consola en la URL /tools/developerConsoleOperations.jsp (o /isomorphic/IDACall), lo que permite a un atacante no autenticado sobrescribir archivos por medio de vectores que incluyen un comentario XML y un salto ruta /....
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en una plantilla de gráfico en Graph Builder en SAS Visual Analytics (CVE-2020-9350)
Fecha de publicación:
23/02/2020
Idioma:
Español
Graph Builder en SAS Visual Analytics versión 8.5, permite un XSS por medio de una plantilla de gráfico que es accedida directamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2020

Vulnerabilidad en un archivo GZIP en el motor de análisis de F-Secure AV (en Linux) de Cloud Protection For Salesforce, Email y Server Security, y Internet GateKeeper (CVE-2020-9342)
Fecha de publicación:
22/02/2020
Idioma:
Español
El motor de análisis de F-Secure AV antes del 05-02-2020, permite omitir la detección de virus mediante datos de Compression Method diseñados en un archivo GZIP. Esto afecta a las versiones anteriores a 17.0.605.474 (en Linux) de Cloud Protection For Salesforce, Email y Server Security, y Internet GateKeeper.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo admin/ajax/op_kandidat.php en el parámetro id en fauzantrif eLection (CVE-2020-9340)
Fecha de publicación:
22/02/2020
Idioma:
Español
fauzantrif eLection versión 2.0, presenta una Inyección SQL por medio del parámetro id del archivo admin/ajax/op_kandidat.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2020

Vulnerabilidad en Name o Comment en el archivo status.php en SOPlanning (CVE-2020-9339)
Fecha de publicación:
22/02/2020
Idioma:
Español
SOPlanning versión 1.45, permite un ataque de tipo XSS por medio del Name o Comment en el archivo status.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2020

Vulnerabilidad en el campo "Your SoPlanning url" en SOPlanning (CVE-2020-9338)
Fecha de publicación:
22/02/2020
Idioma:
Español
SOPlanning versión 1.45, permite un ataque de tipo XSS por medio del campo "Your SoPlanning url".
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2020
Suscribirse a Vulnerabilidades