Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la URL con un identificador de fragmento y una ruta en la lista blanca en snyk-broker (CVE-2020-7648)
Fecha de publicación:
29/05/2020
Idioma:
Español
Todas las versiones de snyk-broker anteriores a 4.72.2, son vulnerables a una Lectura de Archivos Arbitraria. Permite lecturas de archivos arbitrarias para los usuarios que tienen acceso en la red interna de Snyk al añadir la URL con un identificador de fragmento y una ruta en la lista blanca, por ejemplo "#package.json".
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en los archivos con las siguientes extensiones: yaml, yml o json en snyk-broker (CVE-2020-7650)
Fecha de publicación:
29/05/2020
Idioma:
Español
Todas las versiones de snyk-broker posteriores a 4.72.0 e incluyéndola y anteriores a 4.73.1, son vulnerables a una Lectura de Archivos Arbitraria. Permite lecturas de archivos arbitrarias a usuarios con acceso en la red interna de Snyk de cualquiera de los archivos que termine en las siguientes extensiones: yaml, yml o json.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el nivel de registro en DEBUG en claves privadas en snyk-broker (CVE-2020-7654)
Fecha de publicación:
29/05/2020
Idioma:
Español
Todas las versiones de snyk-broker anteriores a 4.73.1, son vulnerables a una Exposición de Información. Registra las claves privadas si el nivel de registro se establece en DEBUG.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la función digital balance en los teléfonos inteligentes HUAWEI Mate 20 (CVE-2020-1831)
Fecha de publicación:
29/05/2020
Idioma:
Español
Los teléfonos inteligentes HUAWEI Mate 20 con versiones anteriores a la 10.0.0.195(SP31C00E74R3P8), presentan una vulnerabilidad de autorización inapropiada. La función digital balance no restringe suficientemente el tiempo de uso de determinados usuarios, una explotación con éxito podría permitir a un usuario romper el límite de la función digital balance después de una serie de operaciones con un PC.
Gravedad CVSS v3.1: BAJA
Última modificación:
02/06/2020

Vulnerabilidad en snyk-broker (CVE-2020-7652)
Fecha de publicación:
29/05/2020
Idioma:
Español
Todas las versiones de snyk-broker anteriores a 4.80.0, son vulnerables a una Lectura de Archivo Arbitraria. Permite lecturas de archivos arbitrarias para usuarios con acceso a la red interna de Snyk por medio de un salto de directorio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2020

Vulnerabilidad en el historial de parches de la API de GitHub Commits en snyk-broker (CVE-2020-7651)
Fecha de publicación:
29/05/2020
Idioma:
Español
Todas las versiones de snyk-broker anteriores a 4.79.0, son vulnerables a una Lectura de Archivo Arbitraria. Permite lecturas parciales de archivos para los usuarios que tienen acceso a la red interna de Snyk por medio del historial de parches de la API de GitHub Commits.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en creación de enlaces simbólicos en Snyk en snyk-broker (CVE-2020-7653)
Fecha de publicación:
29/05/2020
Idioma:
Español
Todas las versiones de snyk-broker anteriores a 4.80.0, son vulnerables a una Lectura de Archivos Arbitraria. Permite lecturas de archivos arbitrarias para usuarios con acceso a la red interna de Snyk, al crear enlaces simbólicos que coincidan con las rutas en la lista blanca.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en las funciones de irp en FreeRDP (CVE-2020-11089)
Fecha de publicación:
29/05/2020
Idioma:
Español
En FreeRDP versiones anteriores a 2.1.0, se presenta una lectura fuera de límite en las funciones de irp (parallel_process_irp_create, serial_process_irp_create, drive_process_irp_write, printer_process_irp_write, rdpei_recv_pdu, serial_process_irp_write). Esto ha sido corregido en la versión 2.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2023

Vulnerabilidad en la administración de la memoria en los productos CloudEngine 12800, CloudEngine 5800, CloudEngine 6800, CloudEngine 7800, NE40E, NE40E-F y NE40E-M (CVE-2020-1870)
Fecha de publicación:
29/05/2020
Idioma:
Español
Hay una vulnerabilidad denegación de servicio en algunos productos Huawei. Debido a una administración inapropiada de la memoria, pueden producirse fugas de memoria en algunos casos especiales. Los atacantes pueden llevar a cabo una serie de operaciones para explotar esta vulnerabilidad. Una explotación con éxito puede causar una denegación de servicio. Las versiones de productos afectados incluyen: CloudEngine 12800 versión V200R019C00SPC800; CloudEngine 5800 versión V200R019C00SPC800; CloudEngine 6800 versión V200R005C20SPC800, V200R019C00SPC800; CloudEngine 7800 versión V200R019C00SPC800; NE40E versión V800R011C00SPC200, V800R011C00SPC300, V800R011C10SPC100; NE40E-F versión V800R011C00SPC200, V800R011C10SPC100; NE40E-M versión V800R011C00SPC200, V800R011C10SPC100.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/11/2020

Vulnerabilidad en un mensaje desde la red adyacente en los productos E6878-370 (CVE-2020-1832)
Fecha de publicación:
29/05/2020
Idioma:
Español
Los productos E6878-370 con versiones de 10.0.3.1(H557SP27C233) y 10.0.3.1(H563SP1C00), presentan una vulnerabilidad de desbordamiento de búfer de la pila. El programa copia un búfer de entrada hacia un búfer de salida sin verificación. Un atacante en la red adyacente podría enviar un mensaje diseñado, una explotación con éxito podría conllevar a un desbordamiento de búfer de la pila que podría causar una ejecución de código malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2020

Vulnerabilidad en un error lógico en la función clock en los teléfonos inteligentes Honor 9X (CVE-2020-1833)
Fecha de publicación:
29/05/2020
Idioma:
Español
Los teléfonos inteligentes Honor 9X con versiones anteriores a 9.1.1.172(C00E170R8P1), presentan una vulnerabilidad de autenticación inapropiada. Un error lógico ocurre cuando se maneja la función clock, un atacante debe hacer una serie de operaciones diseñadas rápidamente antes de que el teléfono este desbloqueado, una explotación con éxito podría permitir a un atacante acceder a la información de clock sin desbloquear el teléfono.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/06/2020

Vulnerabilidad en el abridor de servicio en VMware Fusion, VMware Remote Console y VMware Horizon Client para Mac (CVE-2020-3957)
Fecha de publicación:
29/05/2020
Idioma:
Español
VMware Fusion (versiones 11.x anteriores a 11.5.5), VMware Remote Console para Mac (versiones anteriores a 11.x ) y VMware Horizon Client para Mac (versiones anteriores a 5.x), contienen una vulnerabilidad de escalada de privilegios local debido a un problema de tipo Time-of-check Time-of-use (TOCTOU) en el abridor de servicio. Una explotación con éxito de este problema puede permitir a atacantes con privilegios de usuario normal escalar sus privilegios a root en el sistema donde están instalados Fusion, VMRC y Horizon Client.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2021
Suscribirse a Vulnerabilidades