Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el Servlet del servidor de aplicaciones en XWiki (CVE-2020-15252)
Fecha de publicación:
16/10/2020
Idioma:
Español
En XWiki versiones anteriores a 2.5 y 11.10.6, cualquier usuario con derecho de SCRIPT (EDITA justo antes de XWiki versión 7.4) puede obtener acceso al contexto de Servlet del servidor de aplicaciones que contiene herramientas que permiten crear instancias de objetos Java arbitrarios e invocar métodos que pueden conllevar a una ejecución de código arbitraria. Esto está parcheado en XWiki versión 12.5 y XWiki versión 11.10.6
Gravedad CVSS v3.1: ALTA
Última modificación:
18/11/2021

Vulnerabilidad en la autenticación multifactor con Google Authenticator en Apereo CAS (CVE-2020-27178)
Fecha de publicación:
16/10/2020
Idioma:
Español
Apereo CAS versiones 5.3.x anteriores a 5.3.16, versiones 6.x anteriores a 6.1.7.2, versiones 6.2.x anteriores a 6.2.4 y versiones 6.3.x anteriores a 6.3.0-RC4, maneja inapropiadamente las claves secretas con Google Authenticator para la autenticación multifactor
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo /wp-admin/post.php en el parámetro "cite" en Testimonial Rotator Wordpress Plugin (CVE-2020-26672)
Fecha de publicación:
16/10/2020
Idioma:
Español
Testimonial Rotator Wordpress Plugin versión 3.0.2, está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS) en el archivo /wp-admin/post.php. Si un usuario intercepta una petición e inserta una carga útil en el parámetro "cite", la carga útil será almacenada en la base de datos
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/11/2020

Vulnerabilidad en el componente file upload en Magento (CVE-2020-24408)
Fecha de publicación:
16/10/2020
Idioma:
Español
Magento versiones 2.4.0 y 2.3.5p1 (y anteriores) están afectadas por una vulnerabilidad de tipo XSS persistente que permite a usuarios cargar JavaScript malicioso por medio del componente file upload. Un atacante no autenticado podría abusar de esta vulnerabilidad para ejecutar ataques de tipo XSS contra otros usuarios de Magento. Esta vulnerabilidad requiere que la víctima busque el archivo cargado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2021

Vulnerabilidad en control de acceso del sistema de archivos en la instalación en VMware Horizon Client para Windows (CVE-2020-3991)
Fecha de publicación:
16/10/2020
Idioma:
Español
VMware Horizon Client para Windows (versiones 5.x anteriores a 5.5.0) contiene una vulnerabilidad de denegación de servicio debido a un problema de control de acceso del sistema de archivos durante el tiempo de instalación. Una explotación con éxito de este problema puede permitir a un atacante sobrescribir determinados archivos con privilegios de administrador por medio de un ataque de enlace simbólico en el momento de la instalación. Esto resultará en una condición de denegación de servicio en la máquina donde Horizon Client para Windows está instalado
Gravedad CVSS v3.1: ALTA
Última modificación:
23/10/2020

Vulnerabilidad en ErrorMessage de Auth/Admin en OLIMPOKS (CVE-2020-16270)
Fecha de publicación:
16/10/2020
Idioma:
Español
OLIMPOKS en 3.3.39 permite Auth/Admin ErrorMessage XSS. El Atacante Remoto puede usar la vulnerabilidad descubierta para inyectar carga útil JavaScript maliciosa a los navegadores de las víctimas en el contexto de aplicaciones vulnerables. El código ejecutado puede utilizarse para robar las cookies del administrador, influir en el contenido HTML de la aplicación objetivo y realizar ataques relacionados con la suplantación de identidad (phishing). Aplicación vulnerable utilizada en más de 3000 organizaciones de diferentes sectores, desde el comercio minorista hasta las industrias
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2020

Vulnerabilidad en la configuración de autenticación con SecurityRealm en JBoss EAP (CVE-2020-14299)
Fecha de publicación:
16/10/2020
Idioma:
Español
Se encontró un fallo en JBoss EAP, donde la configuración de autenticación se configura usando un SecurityRealm heredado, para delegarlo en un SecurityDomain PicketBox heredado, y luego se vuelve a cargar al modo de solo administrador. Este fallo permite a un atacante llevar a cabo una omisión de autenticación completa mediante el uso de un usuario y una contraseña arbitrarios. La mayor amenaza a la vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2020

Vulnerabilidad en la funcionalidad git hook en Gitea (CVE-2020-14144)
Fecha de publicación:
16/10/2020
Idioma:
Español
** EN DISPUTA ** La funcionalidad git hook en Gitea versiones 1.1.0 hasta 1.12.5 podría permitir la ejecución de código remoto autenticado en entornos de clientes donde la documentación no fue entendida (por ejemplo, un punto de vista es que la peligrosidad de esta característica debería ser documentada inmediatamente encima de la línea ENABLE_GIT_HOOKS en el archivo de configuración). NOTA: El proveedor ha indicado que no se trata de una vulnerabilidad y afirma: "Se trata de una funcionalidad del software que se limita a un subconjunto muy limitado de cuentas". Si le das a alguien el privilegio de ejecutar un código arbitrario en tu servidor, puede ejecutar un código arbitrario en tu servidor. Proporcionamos advertencias muy claras a los usuarios sobre esta funcionalidad y lo que proporciona.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2024

Vulnerabilidad en la funcionalidad git hook en Gogs (CVE-2020-15867)
Fecha de publicación:
16/10/2020
Idioma:
Español
La característica de gancho git en Gogs versiones 0.5.5 hasta 0.12.2 permite la ejecución de código remoto autenticado. Puede haber una escalada de privilegios si el acceso a esta característica de gancho se concede a un usuario que no tiene privilegios administrativos. NOTA: debido a que esto se menciona en la documentación pero no en la interfaz de usuario, podría considerarse un problema de "La interfaz de usuario del producto no advierte al usuario de acciones inseguras"
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2022

Vulnerabilidad en el parámetro nameTxt en la página principal de inicio de sesión en Aptean Product Configurator (CVE-2020-26944)
Fecha de publicación:
16/10/2020
Idioma:
Español
Se detectó un problema en Aptean Product Configurator versión 4.61.0000 en Windows. Una inyección SQL basada en Tiempo afecta el parámetro nameTxt en la página principal de inicio de sesión (también se conoce como cse?cmd=LOGIN). Esto puede ser explotado de forma directa y remota
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/10/2020

Vulnerabilidad en las llamadas de "ass_outline_construct","outline_stroke" en libass (CVE-2020-26682)
Fecha de publicación:
16/10/2020
Idioma:
Español
En libass versión 0.14.0, la llamada de "ass_outline_construct" hacia "outline_stroke" causa un desbordamiento de enteros con signo
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2022

Vulnerabilidad en verificación del cliente en la herramienta auxiliar en ClamXAV 3 (CVE-2020-26893)
Fecha de publicación:
16/10/2020
Idioma:
Español
Se detectó un problema en ClamXAV 3 versiones anteriores a 3.1.1. Un actor malicioso podría usar una copia firmada apropiadamente de ClamXAV 2 (ejecutándose con un dylib malicioso inyectado) para comunicarse con la herramienta auxiliar de ClamXAV 3 y llevar a cabo operaciones privilegiadas. Esto ocurre debido a una verificación inadecuada del cliente en la herramienta auxiliar
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2020
Suscribirse a Vulnerabilidades