Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2000-1248
Fecha de publicación:
05/11/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en "x-token" en la autenticación en la API del controlador UniFi Protect (CVE-2020-8267)
Fecha de publicación:
05/11/2020
Idioma:
Español
Se encontró un problema de seguridad en el controlador UniFi Protect versiones v1.14.10 y anteriores. La autenticación en la API del controlador UniFi Protect estaba usando "x-token" inapropiadamente, permitiendo a atacantes usar la API para enviar mensajes autenticados sin un token válido. Esta vulnerabilidad fue corregida en UniFi Protect versiones v1.14.11 y más recientes. Este problema no afecta a UniFi Cloud Key Gen 2 plus. Este problema no afecta a los clientes de UDM-Pro con UniFi Protect detenido. Productos afectados: UDM-Pro versiones de firmware 1.7.2 y anteriores. UNVR versiones de firmware 1.3.12 y anteriores. Mitigación: Actualice UniFi Protect a versión v1.14.11 o una versión más reciente; El controlador UniFi Protect puede ser actualizado mediante la configuración de su Sistema Operativo UniFi. Alternativamente, puede actualizar UNVR y UDM-Pro a: - UNVR hasta versiones de firmware 1.3.15 o más reciente - UDM-Pro hasta versiones de firmware 1.8.0 o más recientes
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/11/2020

Vulnerabilidad en un nombre de host en la opción Open On Browser en Telerik Fiddler (CVE-2020-13661)
Fecha de publicación:
05/11/2020
Idioma:
Español
Telerik Fiddler versiones hasta 5.0.20202.18177, permite a atacantes ejecutar programas arbitrarios por medio de un nombre de host con un carácter de espacio final, seguido de --utility-and-browser --utility-cmd-prefix= y el nombre de ruta de un programa instalado localmente. La víctima debe elegir interactivamente la opción Open On Browser. Corregido en la versión 5.0.20204
Gravedad CVSS v3.1: ALTA
Última modificación:
13/11/2020

Vulnerabilidad en encabezados HTTP en llamadas a la API REST en Silver Peak Unity Orchestrator (CVE-2020-12145)
Fecha de publicación:
05/11/2020
Idioma:
Español
Silver Peak Unity Orchestrator versiones anteriores a 8.9.11+, 8.10.11+, o 9.0.1+ usan encabezados HTTP para autentificar unas llamadas a la API REST desde el host local. Esto hace posible acceder a Orchestrator al introducir un ajuste del encabezado HTTP HOST en la versión 127.0.0.1 o localhost. Unas instancias de Orchestrator que son alojadas por clientes -en sitio o en un proveedor de nube pública- están afectadas por esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/11/2020

Vulnerabilidad en la base de datos de Orchestrator en la API REST /sqlExecution en Silver Peak Unity Orchestrator (CVE-2020-12147)
Fecha de publicación:
05/11/2020
Idioma:
Español
En Silver Peak Unity Orchestrator versiones anteriores a 8.9.11+, 8.10.11+ o 9.0.1+, un usuario autenticado puede llevar a cabo consultas MySQL no autorizadas en la base de datos de Orchestrator usando la API REST /sqlExecution, que había sido usada para pruebas internas
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2020

Vulnerabilidad en la API REST /debugFiles en el servidor de Orchestrator en Silver Peak Unity Orchestrator (CVE-2020-12146)
Fecha de publicación:
05/11/2020
Idioma:
Español
En Silver Peak Unity Orchestrator versiones anteriores a 8.9.11+, 8.10.11+ o 9.0.1+, un usuario autenticado puede acceder, modificar y eliminar archivos restringidos en el servidor de Orchestrator usando la API REST /debugFiles
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2020

Vulnerabilidad en la funcionalidad "Notes" en el campo "Description" debajo de la opción "Insert To-Do" en la aplicación web Marmind (CVE-2020-26507)
Fecha de publicación:
05/11/2020
Idioma:
Español
Una vulnerabilidad CSV Injection (también se conoce como Formula Injection) en la aplicación web Marmind con versión 4.1.141.0, permite a usuarios maliciosos conseguir control remoto de otras computadoras. Al proporcionar un código de fórmula en la funcionalidad "Notes" en la pantalla principal, un atacante puede inyectar una carga útil en el campo "Description" debajo de la opción "Insert To-Do". Otros usuarios pueden descargar estos datos, por ejemplo, un archivo CSV, y ejecutar los comandos maliciosos en su computadora al abrir un archivo con un software como Microsoft Excel. El atacante podría conseguir acceso remoto a la PC del usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
19/11/2020

Vulnerabilidad en una URL en HCL Digital Experience (CVE-2020-14222)
Fecha de publicación:
05/11/2020
Idioma:
Español
HCL Digital Experience versiones 8.5, 9.0, 9.5 es susceptible a un ataque de tipo cross site scripting (XSS). Un subcomponente es vulnerable a un ataque de tipo XSS reflejado. En el ataque de tipo XSS reflejado, un atacante debe inducir a una víctima a hacer clic en una URL diseñada desde algún mecanismo de entrega (correo electrónico, otro sitio web)
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2020

Vulnerabilidad en la carga de un archivo PDF en la función "Assets Upload" en la aplicación web "Marmind" (CVE-2020-26505)
Fecha de publicación:
05/11/2020
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en la aplicación web "Marmind" con versión 4.1.141.0, permite a un atacante inyectar código que luego será ejecutado por usuarios legítimos cuando abran los activos que contienen el código JavaScript. Esto permitiría a un atacante llevar a cabo acciones no autorizadas en la aplicación en nombre de usuarios legítimos o difundir malware por medio de la aplicación. Al usar la función "Assets Upload", un atacante puede abusar de la función de carga para cargar un archivo PDF malicioso que contenga una vulnerabilidad de tipo XSS almacenado
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/11/2020

Vulnerabilidad en configuración multiusuario en IBM QRadar SIEM (CVE-2018-1725)
Fecha de publicación:
05/11/2020
Idioma:
Español
IBM QRadar SIEM versiones 7.3 y 7.4, en una configuración multiusuario podría ser vulnerable a una divulgación de información. IBM X-Force ID: 147440
Gravedad CVSS v3.1: BAJA
Última modificación:
12/11/2020

Vulnerabilidad en el manejo del parámetro de entrada del cliente HCL Notes (CVE-2020-4097)
Fecha de publicación:
05/11/2020
Idioma:
Español
En HCL Notes versión 9 anterior a la versión 9.0.1 FixPack 10 Interim Fix 8, versión 10 anterior a versión 10.0.1 FixPack 6 y versión 11 anterior a 11.0.1 FixPack 1, una vulnerabilidad en el manejo del parámetro de entrada del cliente Notes podría potencialmente ser explotado por un atacante resultando en un desbordamiento del búfer. Esto podría permitir a un atacante bloquear HCL Notes o ejecutar código controlado por el atacante en el cliente
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/11/2020

Vulnerabilidad en el navegador Web de la víctima en HCL Notes (CVE-2020-14240)
Fecha de publicación:
05/11/2020
Idioma:
Español
HCL Notes versiones anteriores a 9.0.1 FP10 IF8, 10.0.1 FP6 y 11.0.1 FP1, son susceptibles a una vulnerabilidad de tipo Cross-site Scripting (XSS) almacenado. Un atacante podría usar esta vulnerabilidad para ejecutar un script en el navegador Web de la víctima dentro del contexto de seguridad del sitio Web de alojamiento y/o robar unas credenciales de autenticación basadas en cookies de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/11/2020
Suscribirse a Vulnerabilidades