Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo coders/meta.c en ImageMagick (CVE-2016-7523)
Fecha de publicación:
06/02/2020
Idioma:
Español
El archivo coders/meta.c en ImageMagick permite a atacantes remotos causar una denegación de servicio (lectura fuera de límites) por medio de un archivo diseñado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2024

Vulnerabilidad en el archivo modules/Settings/Vtiger/actions/CompanyDetailsSave.php en la clase Settings_Vtiger_CompanyDetailsSave_Action en Vtiger CRM (CVE-2015-6000)
Fecha de publicación:
06/02/2020
Idioma:
Español
Una vulnerabilidad de carga de archivos sin restricciones en la clase Settings_Vtiger_CompanyDetailsSave_Action en el archivo modules/Settings/Vtiger/actions/CompanyDetailsSave.php en Vtiger CRM versiones 6.3.0 y anteriores, permite a usuarios autenticados remotos ejecutar código arbitrario mediante la carga de un archivo con una extensión ejecutable, y luego acceder a él por medio de un petición directa al archivo en test/logo/.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2020

Vulnerabilidad en el campo Date de un correo electrónico en la interfaz administrativa de Atmail Webmail Server (CVE-2012-2593)
Fecha de publicación:
06/02/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en la interfaz administrativa de Atmail Webmail Server versión 6.4, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del campo Date de un correo electrónico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en un sitio web en el manejo de documentos XML en Google Chrome (CVE-2010-3917)
Fecha de publicación:
06/02/2020
Idioma:
Español
Google Chrome versiones anteriores a 3.0 no maneja apropiadamente los documentos XML, lo que permite a atacantes remotos obtener información confidencial por medio de un sitio web diseñado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en una URL en el editor de bloques y el editor de texto enriquecido en la serie Movable Type (CVE-2020-5528)
Fecha de publicación:
06/02/2020
Idioma:
Español
Vulnerabilidad de tipo cross-site scripting en la serie Movable Type (Movable Type 7 versiones r.4603 y anteriores (Movable Type 7), Movable Type versiones 6.5.2 y anteriores (Movable Type 6.5), Movable Type Advanced 7 versiones r.4603 y anteriores (Movable Type Advanced 7), Movable Type Advanced versiones 6.5.2 y anteriores (Movable Type Advanced 6.5), Movable Type Premium versiones 1.26 y anteriores (Movable Type Premium) y Movable Type Premium Advanced versiones 1.26 y anteriores (Movable Type Premium Advanced)), permite a atacantes remotos inyectar script web o HTML arbitrario en el editor de bloques y el editor de texto enriquecido por medio de una URL especialmente diseñada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2020

Vulnerabilidad en la aplicación de cliente OpenID en Atlassian Crowd (CVE-2019-20104)
Fecha de publicación:
06/02/2020
Idioma:
Español
La aplicación de cliente OpenID en Atlassian Crowd antes de la versión 3.6.2 y desde la versión 3.7.0 anteriores a 3.7.1, permite a atacantes remotos llevar a cabo un ataque de Denegación de Servicio por medio de una vulnerabilidad de tipo XML Entity Expansion.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en un bug de control de acceso roto en las propiedades de comentarios en Atlassian Jira Server y Data Center (CVE-2019-20106)
Fecha de publicación:
06/02/2020
Idioma:
Español
Las propiedades de comentarios en Atlassian Jira Server y Data Center antes de la versión 7.13.12, desde versión 8.0.0 antes de la versión 8.5.4 y versión 8.6.0 antes de la versión 8.6.1, permiten a atacantes remotos hacer comentarios sobre un ticket para el que no tienen permisos de comentarios por medio de un bug de control de acceso roto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en el uso de Tomcat en Jira (CVE-2019-20400)
Fecha de publicación:
06/02/2020
Idioma:
Español
El uso de Tomcat en Jira antes de la versión 8.5.2, permite a atacantes locales con permiso para escribir un archivo dll en un directorio en la variable de entorno global path puede inyectar código por medio de una vulnerabilidad de secuestro de DLL.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2022

Vulnerabilidad en varios recursos de configuración de instalación en Jira (CVE-2019-20401)
Fecha de publicación:
06/02/2020
Idioma:
Español
Varios recursos de configuración de instalación en Jira antes de la versión 8.5.2, permiten a atacantes remotos configurar una instancia de Jira, que aún no ha terminado de ser instalada, por medio de vulnerabilidades de tipo cross-site request forgery (CSRF).
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2022

Vulnerabilidad en una clave de proyecto Jira en la API en Atlassian Jira Server y Data Center (CVE-2019-20403)
Fecha de publicación:
06/02/2020
Idioma:
Español
La API en Atlassian Jira Server y Data Center antes de la versión 8.6.0, permite a atacantes remotos determinar si una clave de proyecto Jira existe o no por medio de una vulnerabilidad de divulgación de información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en los títulos de proyectos en la API en Atlassian Jira Server y Data Center (CVE-2019-20404)
Fecha de publicación:
06/02/2020
Idioma:
Español
La API en Atlassian Jira Server y Data Center antes de la versión 8.6.0, permite a atacantes remotos autenticados determinar los títulos de proyectos a los que no tienen acceso por medio de una vulnerabilidad de autorización inapropiada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en el flag de monitoreo JMX en Atlassian Jira Server y Data Center (CVE-2019-20405)
Fecha de publicación:
06/02/2020
Idioma:
Español
El flag de monitoreo JMX en Atlassian Jira Server and Data Center antes de la versión 8.6.0, permite a atacantes remotos activar o desactivar el flag de monitoreo JMX por medio de una vulnerabilidad de tipo cross-site request forgery (CSRF).
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022
Suscribirse a Vulnerabilidades