Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la llamada AJAX ao_ccss_import en Autoptimize Wordpress Plugin (CVE-2020-24948)

Fecha de publicación:
03/09/2020
Idioma:
Español
La llamada AJAX ao_ccss_import en Autoptimize Wordpress Plugin versión 2.7.6, no garantiza que el archivo proporcionado sea un archivo Zip legítimo, permitiendo a usuarios con altos privilegios cargar archivos arbitrarios, como PHP, conllevando a una ejecución de comandos remota
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2021

Vulnerabilidad en el archivo codebase/handler.php en una petición de codebase/dir.php?type=filenew en Mara CMS (CVE-2020-25042)

Fecha de publicación:
03/09/2020
Idioma:
Español
Se presenta un problema de carga de archivo arbitraria en Mara CMS versión 7.5. Para explotar esto, un atacante debe tener una sesión autenticada válida (administrador/gerente) y hacer una petición de codebase/dir.php?type=filenew para cargar código PHP en el archivo codebase/handler.php
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2022

Vulnerabilidad en el parámetro WebServiceLocation en la respuesta de la petición POST en Enghouse Web Chat (CVE-2020-13972)

Fecha de publicación:
03/09/2020
Idioma:
Español
Enghouse Web Chat versión 6.2.284.34, permite un ataque de tipo XSS. Cuando uno ingresa su propio nombre de dominio en el parámetro WebServiceLocation, la respuesta de la petición POST es mostrada, y cualquier JavaScript devuelto desde el servidor externo es ejecutado en el navegador. Esto está relacionado con CVE-2019-16951
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en los permisos Reuters\Eikon de %PROGRAMFILES(X86)%\Thomson en Thomson Reuters Eikon (CVE-2019-10679)

Fecha de publicación:
03/09/2020
Idioma:
Español
Thomson Reuters Eikon versión 4.0.42144, permite a todos los usuarios locales modificar el archivo ejecutable del servicio debido a que los permisos Reuters\Eikon de %PROGRAMFILES(X86)%\Thomson son débiles
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en un archivo arbitrario en la ruta ejecutable en el instalador de Rapid7 Nexpose (CVE-2020-7382)

Fecha de publicación:
03/09/2020
Idioma:
Español
El instalador de Rapid7 Nexpose versiones anteriores a 6.6.40, contiene una Ruta de Búsqueda Sin Comillas que puede permitir a un atacante en la máquina local insertar un archivo arbitrario en la ruta ejecutable. Este problema afecta a: Rapid7 Nexpose versiones anteriores a 6.6.40
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2020

Vulnerabilidad en un ejecutable en el instalador de Rapid7 Nexpose (CVE-2020-7381)

Fecha de publicación:
03/09/2020
Idioma:
Español
En el instalador de Rapid7 Nexpose versiones anteriores a 6.6.40, el instalador de Nexpose llama un ejecutable que puede ser colocado por un atacante en el directorio apropiado con acceso a la máquina local. Esto impediría que el instalador distinga entre un ejecutable válido llamado durante una instalación de Security Console y cualquier código arbitrario ejecutable usando el mismo nombre de archivo
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2020

Vulnerabilidad en correos electrónicos de registro de usuarios con URL maliciosas en IBM API Connect (CVE-2020-4337)

Fecha de publicación:
03/09/2020
Idioma:
Español
IBM API Connect versiones 2018.4.1.0 hasta 2018.4.1.12, podría permitir a un atacante iniciar ataques de phishing al engañar al servidor para que genere correos electrónicos de registro de usuarios que contienen unas URL maliciosas. IBM X-Force ID: 177933
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2020

Vulnerabilidad en el archivo downloads/downloads.php en PHP-Fusion (CVE-2020-24949)

Fecha de publicación:
03/09/2020
Idioma:
Español
Una escalada de privilegios en PHP-Fusion versión 9.03.50, el archivo downloads/downloads.php permite a un usuario autenticado (no administrador) enviar una petición diseñada hacia un servidor y llevar a cabo una ejecución de comandos remota (RCE)
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el enlace de invitación en API Manager de IBM API Connect (CVE-2020-4638)

Fecha de publicación:
03/09/2020
Idioma:
Español
API Manager de IBM API Connect versiones 2018.4.1.0 hasta 2018.4.1.12, es vulnerable a una escalada de privilegios. Un invitado a una organización de API Provider puede escalar privilegios al manipular el enlace de invitación. IBM X-Force ID: 185508
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en diversos archivos en los parámetros page y zpage o spage en osCommerce CE Phoenix (CVE-2020-12058)

Fecha de publicación:
03/09/2020
Idioma:
Español
Múltiples vulnerabilidades de tipo XSS en osCommerce CE Phoenix versiones anteriores a 1.0.6.0, permiten a un atacante inyectar y ejecutar código JavaScript arbitrario. El código malicioso puede ser inyectado de la siguiente manera: el parámetro page en los archivo catalog/admin/order_status.php, catalog/admin/tax_rates.php, catalog/admin/languages.php, catalog/admin/countries.php, catalog/admin/tax_classes.php, catalog/admin/reviews.php o catalog/admin/zones.php; o el parámetro zpage o spage en el archivo catalog/admin/geo_zones.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en el uso predeterminado de la función load() en el paquete grunt (CVE-2020-7729)

Fecha de publicación:
03/09/2020
Idioma:
Español
El paquete grunt versiones anteriores a 1.3.0, es vulnerable a una ejecución de código arbitraria debido al uso predeterminado de la función load() en lugar de su reemplazo seguro safeLoad() del paquete js-yaml dentro de grunt.file.readYAML
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2022

Vulnerabilidad en el archivo application/modules/admin/views/blog/blogpublish.php en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25088)

Fecha de publicación:
03/09/2020
Idioma:
Español
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo application/modules/admin/views/blog/blogpublish.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/09/2020