Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en recursos compartidos de enlaces compartidos en Nextcloud Server (CVE-2020-8121)
Fecha de publicación:
04/02/2020
Idioma:
Español
Un error en Nextcloud Server versión 14.0.4, podría exponer más datos de lo previsto en recursos compartidos de enlaces compartidos por parte del compartidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2020

Vulnerabilidad en un recurso compartido en Nextcloud Server (CVE-2020-8122)
Fecha de publicación:
04/02/2020
Idioma:
Español
Una falta de comprobación en Nextcloud Server versiones 14.0.3, podría otorgar al destinatario la posibilidad de extender la fecha de expiración de un recurso compartido que recibió.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2020

Vulnerabilidad en las comprobaciones de seguridad en el paquete url-parse npm (CVE-2020-8124)
Fecha de publicación:
04/02/2020
Idioma:
Español
Se presenta una comprobación y saneamiento insuficiente de la entrada del usuario en el paquete url-parse npm versión 1.4.4 y anteriores, puede permitir a un atacante omitir las comprobaciones de seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2020

Vulnerabilidad en las peticiones HTTP en Squid (CVE-2020-8449)
Fecha de publicación:
04/02/2020
Idioma:
Español
Se detectó un problema en Squid versiones anteriores a 4.10. Debido a una comprobación de entrada incorrecta, puede interpretar las peticiones HTTP diseñadas de manera no prevista para acceder a recursos del servidor prohibidos por parte de los filtros de seguridad anteriores.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el plugin Tutor LMS para WordPress (CVE-2020-8615)
Fecha de publicación:
04/02/2020
Idioma:
Español
Una vulnerabilidad de tipo CSRF en el plugin Tutor LMS versiones anteriores a 1.5.3 para WordPress, puede resultar en que un atacante se apruebe como instructor y lleve a cabo otras acciones maliciosas (tales como bloquear instructores legítimos).
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en la consola de administración en strapi (CVE-2020-8123)
Fecha de publicación:
04/02/2020
Idioma:
Español
Se presenta una denegación de servicio en strapi versiones v3.0.0-beta.18.3 y anteriores, que puede ser abusada en la consola de administración utilizando los derechos de administrador, lo que puede conllevar a un reinicio arbitrario de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2020

Vulnerabilidad en aplicaciones que utilizan el paquete npm klona (CVE-2020-8125)
Fecha de publicación:
04/02/2020
Idioma:
Español
Un fallo en la comprobación de entrada en el paquete npm klona versión 1.1.0 y anteriores, puede permitir un ataque de contaminación prototipo que puede resultar en una ejecución de código remota o una denegación de servicio de aplicaciones que utilizan klona.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/02/2020

Vulnerabilidad en una instancia de Squid que actúa como un proxy inverso (CVE-2020-8450)
Fecha de publicación:
04/02/2020
Idioma:
Español
Se detectó un problema en Squid versiones anteriores a 4.10. Debido a una administración del búfer incorrecta, un cliente remoto puede causar un desbordamiento del búfer en una instancia de Squid que actúa como un proxy inverso.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el analizador de credenciales de autenticación NTLM en la función ext_lm_group_acl en Squid (CVE-2020-8517)
Fecha de publicación:
04/02/2020
Idioma:
Español
Se detectó un problema en Squid versiones anteriores a 4.10. Debido a una comprobación de entrada incorrecta, el analizador de credenciales de autenticación NTLM en la función ext_lm_group_acl puede escribir en la memoria fuera del búfer de credenciales. En sistemas con protecciones de acceso a la memoria, esto puede resultar en que el proceso auxiliar termine inesperadamente. Esto conlleva a que el proceso de Squid también termine y a una denegación de servicio para todos los clientes que están usando el proxy.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la generación de svg en Nextcloud Server (CVE-2020-8120)
Fecha de publicación:
04/02/2020
Idioma:
Español
Se detectó una vulnerabilidad de tipo Cross-Site Scripting en Nextcloud Server versión 16.0.1, en la generación de svg.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/05/2023

Vulnerabilidad en la aplicación gallery en un enlace compartido file-drop en Nextcloud Server (CVE-2020-8119)
Fecha de publicación:
04/02/2020
Idioma:
Español
Una autorización inapropiada en Nextcloud Server versión 17.0.0, causa la pérdida de vistas previas y archivos cuando un enlace compartido file-drop es abierto por medio de la aplicación gallery.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/02/2020

Vulnerabilidad en el script de entrega afr.php en el identificador de sesión en la interfaz de administración de Revive Adserver de Jacopo Tediosi (CVE-2020-8115)
Fecha de publicación:
04/02/2020
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo XSS reflejado en el script de entrega afr.php de acceso público de Revive Adserver versiones anteriores e incluyendo a la 5.0.3 de Jacopo Tediosi. Actualmente no existen explotaciones conocidas: el identificador de sesión no puede ser accedido ya que está almacenado en una cookie solo http a partir de la versión v3.2.2. Sin embargo, en versiones anteriores, en circunstancias específicas, podría ser posible robar el identificador de sesión y conseguir acceso a la interfaz de administración. La cadena de consulta enviada en el script www/delivery/afr.php fue impresa sin escapar apropiadamente en un contexto JavaScript, permitiendo a un atacante ejecutar código JS arbitrario en el navegador de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2020
Suscribirse a Vulnerabilidades