Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un archivo Right Hemisphere Binary (.rh) en SAP 3D Visual Enterprise Viewer (CVE-2020-6376)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo Right Hemisphere Binary (.rh) manipulado recibido de fuentes no confiables que resulta en el bloqueo de la aplicación y que deje de estar disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación Inapropiada de Entrada
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en un archivo Right Computer Graphics Metafile (.cgm) en SAP 3D Visual Enterprise Viewer (CVE-2020-6375)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo Right Computer Graphics Metafile (.cgm) manipulado recibido de fuentes no confiables que resulta en el bloqueo de la aplicación y que deje de estar disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación Inapropiada de Entrada
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en un archivo PDF de fuentes no confiables en SAP 3D Visual Enterprise Viewer (CVE-2020-6372)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión 9, permite a un usuario abrir un archivo PDF manipulado recibido de fuentes no confiables que resulta en el bloqueo de la aplicación y que deje de estar disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación Inapropiada de Entrada
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en un archivo PDF en SAP 3D Visual Enterprise Viewer (CVE-2020-6373)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión 9, permite a un usuario abrir un archivo PDF manipulado recibido de fuentes no confiables que resulta en el bloqueo de la aplicación y que deje de estar disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación Inapropiada de Entrada
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en un archivo Jupiter Tessallation(.jt) en SAP 3D Visual Enterprise Viewer (CVE-2020-6374)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo Jupiter Tessallation (.jt) manipulado recibido de fuentes no confiables que resulta en el bloqueo de la aplicación y que deje de estar disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación Inapropiada de Entrada
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la codificación de las entradas de usuario en varios componentes del CMS web en SAP Commerce Cloud (CVE-2020-6272)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP Commerce Cloud versiones - 1808, 1811, 1905, 2005, no codifican suficientemente las entradas del usuario, lo que permite a un administrador de contenido autenticado y autorizado inyectar un script malicioso en varios componentes del CMS web. Estos puede ser guardado y activado posteriormente, si se visita una página web afectada, resultando en una vulnerabilidad de tipo Cross-Site Scripting (XSS)
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en la información de autenticación en SAP Business Planning and Consolidation (CVE-2020-6368)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP Business Planning and Consolidation, versiones - 750, 751, 752, 753, 754, 755, 810, 100, 200, pueden ser abusada por un atacante, permitiendo modificar el contenido de la aplicación mostrada sin autorización y potencialmente obtener información de autenticación de otros usuarios legítimos, conllevando a una vulnerabilidad de tipo Cross Site Scripting
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en las aplicaciones web que mantienen sesiones de usuario en SAP Commerce Cloud (CVE-2020-6363)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP Commerce Cloud, versiones - 1808, 1811, 1905, 2005, expone varias aplicaciones web que mantienen sesiones con un usuario. Estas sesiones son establecidas después de que el usuario se haya autenticado con credenciales de nombre de usuario y frase de contraseña. El usuario puede cambiar su propia frase de contraseña, pero esto no invalida las sesiones activas que el usuario pueda tener con las aplicaciones web de SAP Commerce Cloud, lo que le da al atacante la oportunidad de reutilizar credenciales de sesión antiguas, resultando en una caducidad de sesión insuficiente
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en la codificación de las entradas en SAP NetWeaver Enterprise Portal (CVE-2020-6323)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP NetWeaver Enterprise Portal (Fiori Framework Page) versiones - 7.50, 7.31, 7.40, no codifican suficientemente las entradas controladas por el usuario y permiten a un atacante en una sesión válida crear un ataque de tipo XSS que será reflejado tanto inmediatamente como también será persistente y regresará con mayor acceso al sistema, resultando en una vulnerabilidad de tipo Cross Site Scripting
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en bloques de JavaScript en cualquier página web o URL en SAP NetWeaver Application Server Java (CVE-2020-6319)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP NetWeaver Application Server Java, versiones - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50, permite a un atacante no autenticado incluir bloques de JavaScript en cualquier página web o URL con diferentes símbolos que de otro modo no están permitidos. En una explotación con éxito, un atacante puede robar información de autenticación del usuario, tal y como datos relacionados con su sesión actual e impactar de manera limitada la confidencialidad e integridad de la aplicación, conllevando a una vulnerabilidad de tipo Cross Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2020

Vulnerabilidad en una cookie en CA Introscope Enterprise Manager en SAP Solution Manager y SAP Focused Run (CVE-2020-6364)
Fecha de publicación:
15/10/2020
Idioma:
Español
SAP Solution Manager y SAP Focused Run (actualización proporcionada en WILY_INTRO_ENTERPRISE versiones 9.7, 10.1, 10.5, 10.7), permite a un atacante modificar una cookie de manera que los comandos del Sistema Operativo puedan ser ejecutados y potencialmente conseguir el control sobre el host que ejecuta CA Introscope Enterprise Manager, conllevando a una inyección de código. Con esto, el atacante es capaz de leer y modificar todos los archivos del sistema y también afectar la disponibilidad del sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2021

Vulnerabilidad en la información de cuentas de usuario en SAP NetWeaver Application Server ABAP (CVE-2020-6371)
Fecha de publicación:
15/10/2020
Idioma:
Español
Una vulnerabilidad de enumeración de usuarios puede ser explotada para obtener una lista de cuentas de usuario y la información personal del usuario puede ser expuesta en SAP NetWeaver Application Server ABAP (aplicación de prueba POWL): versiones 710, 711, 730, 731, 740, 750, conllevando a una Divulgación de Información
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/10/2022
Suscribirse a Vulnerabilidades