Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el sensor en NETSCOUT AirMagnet Enterprise (CVE-2020-28251)

Fecha de publicación:
03/12/2020
Idioma:
Español
NETSCOUT AirMagnet Enterprise versión 11.1.4 build 37257 y anteriores, presenta una vulnerabilidad de escalada de privilegios del sensor que puede ser explotada para proporcionar a alguien acceso administrativo hacia un sensor, con credenciales para invocar un comando para proporcionar acceso root al sistema operativo. El atacante debe completar un ejercicio de descifrado de contraseñas sencillo
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo /MagickCore/statistic.c en la función ApplyEvaluateOperator() en ImageMagick (CVE-2020-27764)

Fecha de publicación:
03/12/2020
Idioma:
Español
En el archivo /MagickCore/statistic.c, presenta varias áreas en la función ApplyEvaluateOperator() donde una conversión size_t debería haber sido una conversión ssize_t, lo que causa valores fuera de rango bajo algunas circunstancias cuando ImageMagick procesa un archivo de entrada diseñado. Red Hat Product Security marcó esto como de gravedad baja porque, aunque podría generar un impacto en la disponibilidad de la aplicación, ningún impacto específico fue mostrado en este caso. Este fallo afecta a las versiones de ImageMagick versiones anteriores a 6.9.10-69
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2023

Vulnerabilidad en un archivo PDF en el programa "pdftohtml" en Poppler (CVE-2020-27778)

Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en Poppler en la manera en que determinados archivos PDF se convertían a HTML. Un atacante remoto podría explotar este fallo proporcionando un archivo PDF malicioso que, cuando se procesaba por el programa "pdftohtml", bloquearía la aplicación y provocaría una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
28/09/2022

Vulnerabilidad en FasterXML Jackson Databind (CVE-2020-25649)

Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en FasterXML Jackson Databind, donde no tenía la expansión de entidad asegurada apropiadamente. Este fallo permite una vulnerabilidad a ataques de tipo XML external entity (XXE). La mayor amenaza de esta vulnerabilidad es la integridad de los datos
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo de entrada en la función load_pnm() en CImg (CVE-2020-25693)

Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en CImg en versiones anteriores a 2.9.3. Desbordamientos de enteros que conllevan a desbordamientos de búfer de la pila en la función load_pnm() pueden ser desencadenados mediante un archivo de entrada especialmente diseñado procesado por CImg, lo que puede afectar la disponibilidad de la aplicación o la integridad de los datos
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo /MagickCore/quantize.c en la función IntensityCompare() en ImageMagick (CVE-2020-27759)

Fecha de publicación:
03/12/2020
Idioma:
Español
En la función IntensityCompare() del archivo /MagickCore/quantize.c, un valor doble se convertía en int y era devuelto, lo que en algunos casos provocaba que se devolviera un valor fuera del rango de tipo "int". El fallo podría ser desencadenado por un archivo de entrada diseñado bajo determinadas condiciones cuando lo procesa ImageMagick. Red Hat Product Security marcó esto como de gravedad baja porque, aunque podría generar un impacto en la disponibilidad de la aplicación, no se mostró un impacto específico en este caso. Este fallo afecta a ImageMagick versiones anteriores a 7.0.8-68
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2023

Vulnerabilidad en el archivo /MagickCore/enhance.c la función "GammaImage()" en ImageMagick (CVE-2020-27760)

Fecha de publicación:
03/12/2020
Idioma:
Español
En la función "GammaImage()" del archivo /MagickCore/enhance.c, dependiendo del valor de "gamma", es posible activar una condición de división por cero cuando ImageMagick procesa un archivo de entrada diseñado. Esto podría tener un impacto en la disponibilidad de la aplicación. El parche utiliza la función "PerceptibleReciprocal()" para evitar que ocurra la división por cero. Este fallo afecta a ImageMagick versiones anteriores a 7.0.8-68
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2023

Vulnerabilidad en el archivo /coders/palm.c en la función WritePALMImage() en ImageMagick (CVE-2020-27761)

Fecha de publicación:
03/12/2020
Idioma:
Español
La función WritePALMImage() en el archivo /coders/palm.c usó conversiones size_t en varias áreas de un cálculo que podría conllevar a valores fuera del rango de comportamiento indefinido de tipo representable "unsigned long" cuando un archivo de entrada diseñado era procesado por ImageMagick. En su lugar, el parche se convierte en "ssize_t" para evitar este problema. La seguridad de productos de Red Hat marcó la gravedad como baja porque, aunque podría generar un impacto en la disponibilidad de la aplicación, no se mostró un impacto específico en este caso. Este fallo afecta a ImageMagick versiones anteriores a 7.0.9-0
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2023

Vulnerabilidad en el archivo coders/hdr.c en ImageMagick (CVE-2020-27762)

Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en ImageMagick en el archivo coders/hdr.c. Un atacante que envía un archivo diseñado que es procesado por ImageMagick podría desencadenar un comportamiento indefinido en la forma de valores fuera de rango de tipo "unsigned char". Lo más probable es que esto afecte la disponibilidad de la aplicación, pero podría causar potencialmente otros problemas relacionados con el comportamiento indefinido. Este fallo afecta a ImageMagick versiones anteriores a 7.0.8-68
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2023

Vulnerabilidad en el archivo MagickCore/resize.c en ImageMagick (CVE-2020-27763)

Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en ImageMagick en el archivo MagickCore/resize.c. Un atacante que envía un archivo diseñado que es procesado por ImageMagick podría desencadenar un comportamiento indefinido en forma de división matemática por cero. Lo más probable es que esto afecte la disponibilidad de la aplicación, pero podría causar otros problemas relacionados con el comportamiento indefinido. Este fallo afecta a ImageMagick versiones anteriores a 7.0.8-68
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2023

Vulnerabilidad en la API REST de infinispan (CVE-2020-25711)

Fecha de publicación:
03/12/2020
Idioma:
Español
Se encontró un fallo en la API REST de infinispan versión 10, donde los permisos de autorización no son comprobados mientras se llevan a cabo algunas operaciones de administración del servidor. Cuando authz está habilitada, cualquier usuario con autenticación puede realizar operaciones como apagar el servidor sin el rol de ADMIN
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/11/2022

Vulnerabilidad en los permisos del sistema de archivos de la instalación de LogicalDoc (CVE-2020-13542)

Fecha de publicación:
03/12/2020
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios local en los permisos del sistema de archivos de la instalación de LogicalDoc versión 8.5.1. Dependiendo del vector elegido, un atacante puede reemplazar el binario del servicio o reemplazar los archivos DLL cargados por el servicio, ambos ejecutados por un servicio ejecutando así comandos arbitrarios con privilegios System
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026