Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una interfaz expuesta en el servicio de actualización en B&R Automation Studio. (CVE-2019-19100)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una vulnerabilidad de escalada de privilegios en el servicio de actualización en B&R Automation Studio versiones 4.0.x, 4.1.x, 4.2.x, versiones anteriores a 4.3.11SP, versiones anteriores a 4.4.9SP, versiones anteriores a 4.5.4SP, versiones anteriores a 4.6.3SP, versiones anteriores a 4.7.2 y versiones anteriores a 4.8.1, permite a usuarios autenticados eliminar archivos arbitrarios por medio de una interfaz expuesta.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en el servidor de actualización en B&R Automation Studio. (CVE-2019-19101)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una falta de definición de comunicación segura y una comprobación TLS incompleta en el servicio de actualización en B&R Automation Studio versiones 4.0.x, 4.1.x, 4.2.x, versiones anteriores a 4.3.11SP, versiones anteriores a 4.4.9SP, versiones anteriores a 4.5.5SP, versiones anteriores a 4.6.4 y versiones anteriores a 4.7.2, permiten a usuarios no autenticados llevar a cabo ataques de tipo MITM por medio del servidor de actualización de B&R.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2021

Vulnerabilidad en SharpZipLib en el servicio de actualización en B&R Automation Studio. (CVE-2019-19102)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una vulnerabilidad de salto de directorio en SharpZipLib usado en el servicio de actualización en B&R Automation Studio versiones 4.0.x, 4.1.x y 4.2.x, permite a usuarios no autenticados escribir en determinados directorios locales. La vulnerabilidad también se conoce como zip slip.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2020

Vulnerabilidad en las funciones de comunicación entre procesos en ABB System 800xA (CVE-2020-8487)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una protección insuficiente de las funciones de comunicación entre procesos en ABB System 800xA Base (todas las versiones publicadas), permite a un atacante autenticado en el sistema local inyectar datos, afectando al manejo de la redundancia de nodos.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2020

Vulnerabilidad en las funciones de comunicación entre procesos en ABB System 800xA for DCI. (CVE-2020-8484)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una protección insuficiente de las funciones de comunicación entre procesos en ABB System 800xA para DCI (todas las versiones publicadas), permite a un atacante autentificado en el sistema local inyectar datos, permitiendo leer y escribir en los controladores o causar que los procesos de Windows se bloqueen.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2020

Vulnerabilidad en las funciones de comunicación entre procesos en ABB System 800xA Batch Management (CVE-2020-8488)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una protección insuficiente de las funciones de comunicación entre procesos en ABB System 800xA Batch Management (todas las versiones publicadas), permite a un atacante autenticado en el sistema local inyectar datos, afectando la actualización de la Interfaz de Usuario durante la ejecución de lotes y/o las funcionalidades de comparar e imprimir.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2020

Vulnerabilidad en las funciones de comunicación entre procesos en ABB System 800xA Information Management (CVE-2020-8489)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una protección insuficiente de las funciones de comunicación entre procesos en ABB System 800xA Information Management (todas las versiones publicadas), permite a un atacante autenticado en el sistema local inyectar datos, afectando a los valores de tiempo de ejecución para ser almacenados en el archivo o haciendo que los servicios de histórico de Information Management no estén disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2020

Vulnerabilidad en las funciones de comunicación entre procesos en ABB System 800xA for MOD 300 (CVE-2020-8485)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una protección insuficiente de las funciones de comunicación entre procesos en ABB System 800xA para MOD 300 (todas las versiones publicadas), permite a un atacante autentificado en el sistema local inyectar datos, permitiendo leer y escribir en los controladores o causar que los procesos de Windows se bloqueen.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2020

Vulnerabilidad en las funciones de comunicación entre procesos en ABB System 800xA RNRP. (CVE-2020-8486)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una protección insuficiente de las funciones de comunicación entre procesos en ABB System 800xA RNRP (todas las versiones publicadas), permite a un atacante autentificado en el sistema local inyectar datos, afectando al manejo de la redundancia de nodos.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2020

Vulnerabilidad en las funciones de comunicación entre procesos en algunos productos de ABB System 800xA. (CVE-2020-8478)
Fecha de publicación:
29/04/2020
Idioma:
Español
Una protección insuficiente de las funciones de comunicación entre procesos en los productos OPC Server para AC 800M, MMS Server para AC 800M y Base Software para SoftControl (todas las versiones publicadas) de ABB System 800xA, permite a un atacante autenticado en el sistema local inyectar datos, afectando la visualización en línea de los datos del tiempo de ejecución que se muestran en Control Builder.
Gravedad CVSS v3.1: BAJA
Última modificación:
13/05/2020

Vulnerabilidad en bigbluebutton.properties en BigBlueButton (CVE-2020-12443)
Fecha de publicación:
29/04/2020
Idioma:
Español
BigBlueButton versiones anteriores a 2.2.6, permite a atacantes remotos leer archivos arbitrarios porque el valor de presfilename (minúsculas) puede ser un nombre de archivo .pdf mientras que el valor de presFilename (mayúsculas y minúsculas) presenta una secuencia ../. Esto puede ser aprovechado para una escalada de privilegios por medio de un salto de directorio en bigbluebutton.properties. NOTA: este problema existe debido a una mitigación ineficaz de CVE-2020-12112 en la que se intentó corregir dentro de un archivo de configuración NGINX, sin considerar que la parte relevante de NGINX no distingue entre mayúsculas y minúsculas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2020

Vulnerabilidad en el componente Central Licensing Server en los productos ABB Ability (CVE-2020-8471)
Fecha de publicación:
29/04/2020
Idioma:
Español
Para el componente Central Licensing Server usado en los productos de ABB Ability™ System 800xA de ABB y extensiones de sistema relacionadas versiones 5.1, 6.0 y 6.1, Compact HMI versiones 5.1 y 6.0, Control Builder Safe versiones 1.0, 1.1 y 2.0, Symphony Plus -S+ Operations versiones 3.0 hasta 3.2 Symphony Plus -S+ Engineering versiones 1.1 hasta 2.2, Composer Harmony versiones 5.1, 6.0 y 6.1, Melody Composer versiones 5.3, 6.1/6.2 y SPE para Melody versión 1.0SPx (Composer versión 6.3), Harmony OPC Server (HAOPC) Standalone versiones 6.0, 6.1 y 7.0, ABB Ability™ System 800xA/ Advant® OCS Control Builder A versiones 1.3 y 1.4, Advant® OCS AC100 OPC Server versiones 5.1, 6.0 y 6.1, Composer CTK versiones 6.1 y 6.2, AdvaBuild versión 3.7 SP1 y SP2, OPCServer para MOD 300 (non-800xA) versión 1.4, OPC Data Link versiones 2.1 y 2.2, Knowledge Manager versiones 8.0, 9.0 y 9.1, Manufacturing Operations Management versiones 1812 y 1909, unos permisos de archivo débiles permiten a un atacante autenticado bloquear el manejo de la licencia, escalar sus privilegios y ejecutar código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2020
Suscribirse a Vulnerabilidades