Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una petición para el puerto TCP 7510 en Iris usado en los sistemas de punto de venta (POS) de Xpient (CVE-2013-2571)
Fecha de publicación:
28/01/2020
Idioma:
Español
Iris versión 3.8 anteriores al build 1548, como es usado en los sistemas de punto de venta (POS) de Xpient, permite a atacantes remotos ejecutar comandos arbitrarios por medio de una petición diseñada para el puerto TCP 7510, como es demostrado mediante la apertura de la caja de efectivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/02/2020

Vulnerabilidad en la autenticación en el módulo py-bcrypt para Python (CVE-2013-1895)
Fecha de publicación:
28/01/2020
Idioma:
Español
El módulo py-bcrypt versiones anteriores a 0.3 para Python, no maneja apropiadamente el acceso concurrente a la memoria, que permite a atacantes omitir la autenticación por medio de múltiples peticiones de autenticación, lo que desencadena que el hash de contraseña se sobrescriba.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2020

Vulnerabilidad en el valor $Version en el módulo Module-Metadata para Perl (CVE-2013-1437)
Fecha de publicación:
28/01/2020
Idioma:
Español
Una vulnerabilidad de inyección de Eval en el módulo Module-Metadata versiones anteriores a 1.000015 para Perl, permite a atacantes remotos ejecutar código de Perl arbitrario por medio del valor $Version.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/02/2020

Vulnerabilidad en los campos First Name, Middle Name, y Last Name para las cuentas de usuario en MyAccountPortlet en LifeRay Portal CE (CVE-2020-7934)
Fecha de publicación:
28/01/2020
Idioma:
Español
En LifeRay Portal CE versiones 7.1.0 hasta 7.2.1 GA2, los campos First Name, Middle Name, y Last Name para las cuentas de usuario en MyAccountPortlet son vulnerables a un problema de tipo XSS persistente. Cualquier usuario puede modificar estos campos con una carga útil XSS particular, y será almacenada en la base de datos. La carga útil entonces será renderizada cuando un usuario utilice la funcionalidad search para buscar a otros usuarios (es decir, si se presenta un usuario con campos modificados en los resultados de la búsqueda). Este problema fue corregido en el Portal Liferay CE versión 7.3.0 GA1
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/11/2020

Vulnerabilidad en freemarker.template.utility.Execute en el motor Apache FreeMarker en FusionAuth (CVE-2020-7799)
Fecha de publicación:
28/01/2020
Idioma:
Español
Se detectó un problema en FusionAuth versiones anteriores a 1.11.0. Un usuario autenticado, que tiene permitido editar plantillas de correo electrónico (Home -) Settings -) Email Templates) o temas (Home -) Settings -) Themes), puede ejecutar comandos sobre el sistema operativo subyacente al abusar de freemarker.template.utility.Execute en el motor Apache FreeMarker que procesa plantillas personalizadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en comprobación de los certificados en la aplicación de Android "MyPallete" y algunas de las aplicaciones bancarias de Android basadas en "MyPallete" (CVE-2020-5523)
Fecha de publicación:
28/01/2020
Idioma:
Español
La aplicación de Android "MyPallete" y algunas de las aplicaciones bancarias de Android basadas en "MyPallete" no verifican los certificados X.509 de los servidores, y tampoco comprueban apropiadamente los certificados con incompatibilidad de host, lo que permite a atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado diseñado.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/01/2020

Vulnerabilidad en el campo Client Name en la funcionalidad Parental Control en los dispositivos ASUS WRT-AC66U 3 RT (CVE-2020-7997)
Fecha de publicación:
28/01/2020
Idioma:
Español
Los dispositivos ASUS WRT-AC66U 3 RT versión 3.0.0.4.372_67, permiten un ataque de tipo XSS por medio del campo Client Name en la funcionalidad Parental Control.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2020

Vulnerabilidad en en la ruta del desarrollador en el servicio FTP o la Interfaz de Usuario Web en la aplicación Super File Explorer para iOS (CVE-2020-7998)
Fecha de publicación:
28/01/2020
Idioma:
Español
Se ha detectado una vulnerabilidad de carga de archivo arbitraria en la aplicación Super File Explorer versión 1.0.1 para iOS. La vulnerabilidad se presenta en la ruta del desarrollador que es accesible y oculta al lado de la ruta root. Por defecto, no existe una contraseña establecida para el servicio FTP o la Interfaz de Usuario Web.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2020

Vulnerabilidad en los comandos de barra de Mattermost en GitLab (CVE-2019-5468)
Fecha de publicación:
28/01/2020
Idioma:
Español
Se detectó un problema de escalada de privilegios en GitLab versiones anteriores a 12.1.2, versiones anteriores a 12.0.4 y versiones anteriores a 11.11.6, cuando los comandos de barra de Mattermost son usados con una cuenta bloqueada.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2020

Vulnerabilidad en el panel de seguridad en GitLab (CVE-2019-5470)
Fecha de publicación:
28/01/2020
Idioma:
Español
Se detectó un problema de divulgación de información en GitLab versiones anteriores a 12.1.2, versiones anteriores a 12.0.4 y versiones anteriores a 11.11.6, en el panel de seguridad que podría resultar en la divulgación de la información de retroalimentación de la vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2020

Vulnerabilidad en endpoints de peticiones de fusión en un IDOR en GitLab CE/EE (CVE-2019-5466)
Fecha de publicación:
28/01/2020
Idioma:
Español
Se detectó un IDOR en GitLab CE/EE versiones 11.5 y posteriores, que permitía nuevos endpoints de peticiones de fusión para revelar nombres de etiquetas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2020

Vulnerabilidad en la autorización en GitLab (CVE-2019-5472)
Fecha de publicación:
28/01/2020
Idioma:
Español
Se detectó un problema de autorización en GitLab versiones anteriores a 12.1.2, versiones anteriores a 12.0.4 y versiones anteriores a 11.11.6, que impedían a los propietarios y al mantenedor eliminar comentarios épicos.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/01/2020
Suscribirse a Vulnerabilidades