Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la base de datos por medio de una instancia de grupo en plantillas de correo electrónico en Magento. (CVE-2019-8130)
Fecha de publicación:
06/11/2019
Idioma:
Español
Existe una vulnerabilidad de inyección SQL en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario con privilegios de manipulación de tienda puede ejecutar consultas SQL arbitrarias al conseguir acceso a la conexión de la base de datos por medio de una instancia de grupo en plantillas de correo electrónico.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2019

Vulnerabilidad en un valor de id de sesión de invitado seguido de un inicio de sesión en Magento. (CVE-2019-8116)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de autenticación y gestión de sesión no segura en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede aprovechar un valor de id de sesión de invitado seguido de un inicio de sesión con éxito para conseguir acceso a la página de índice de la cuenta del cliente.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en mediante privilegios de importación de productos en Magento (CVE-2019-8119)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario administrador autenticado con privilegios de importación de productos puede eliminar archivos mediante la importación masiva de productos e inyectar código en un archivo XSLT. La combinación de estas manipulaciones puede conllevar a una ejecución de código remota.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en una actualización de diseño personalizado en la funcionalidad import product en Magento (CVE-2019-8122)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario autenticado con privilegios para crear productos puede diseñar una actualización de diseño personalizada y usar la funcionalidad import product para permitir una ejecución de código remota.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en la funcionalidad de registro en Magento. (CVE-2019-8123)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de registro y monitoreo insuficiente en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. La funcionalidad de registro requerida para un monitoreo efectivo no contenía suficientes datos para rastrear efectivamente los cambios de configuración.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en una configuración de soporte en los parámetros de configuración en Magento. (CVE-2019-8125)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.x y 1.14.x. Un usuario administrador autenticado puede modificar los parámetros de configuración por medio de una configuración de soporte diseñada. La modificación puede conllevar a una ejecución de código remota.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en la función para almacenamiento de los intentos de inicio de sesión fallidos en Magento. (CVE-2019-8118)
Fecha de publicación:
05/11/2019
Idioma:
Español
Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3, usa una función criptográfica débil para almacenar los intentos de inicio de sesión fallidos para cuentas de clientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/11/2019

Vulnerabilidad en la sección de una petición POST relacionada con la dirección de correo electrónico en Magento (CVE-2019-8120)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario autenticado puede inyectar código Javascript arbitrario mediante la manipulación de la sección de una petición POST relacionada con la dirección de correo electrónico del cliente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/11/2019

Vulnerabilidad en la especificación del id de la vista de producto en Magento. (CVE-2019-8117)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio de la especificación del id de la vista de producto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/11/2019

Vulnerabilidad en una creación de producto simple en Magento (CVE-2019-8115)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede inyectar código JavaScript arbitrario cuando se agrega una imagen durante una creación de producto simple.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/11/2019

Vulnerabilidad en la base de código en las versiones obsoletas de las bibliotecas JS de Magento (CVE-2019-8121)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de componente no seguro en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. La base de código de Magento versión 2 aprovechó las versiones obsoletas de las bibliotecas JS (Bootstrap, jquery, Knockout) con vulnerabilidades de seguridad conocidas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2019

Vulnerabilidad en una carga de archivos de registro de configuración las funcionalidades de importación en Magento. (CVE-2019-8114)
Fecha de publicación:
05/11/2019
Idioma:
Español
Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de administrador para funcionalidades de importación puede ejecutar código arbitrario por medio de una carga de archivos de registro de configuración especialmente diseñada.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2019
Suscribirse a Vulnerabilidades