Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2021-42258

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** BQE BillQuick Web Suite 2018 through 2021 before 22.0.9.1 allows SQL injection for unauthenticated remote code execution, as exploited in the wild in October 2021 for ransomware installation. SQL injection can, for example, use the txtID (aka username) parameter. Successful exploitation can include the ability to execute arbitrary code as MSSQLSERVER$ via xp_cmdshell.

CVE-2020-36491

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** DedeCMS v7.5 SP2 was discovered to contain multiple cross-site scripting (XSS) vulnerabilities in the component tags_main.php via the `activepath`, `keyword`, `tag`, `fmdo=x&filename`, `CKEditor` and `CKEditorFuncNum` parameters.

CVE-2020-23061

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** Dropouts Technologies LLP Super Backup v2.0.5 was discovered to contain an issue in the path parameter of the `list` and `download` module which allows attackers to perform a directory traversal via a change to the path variable to request the local list command.

CVE-2020-23041

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** Dropouts Technologies LLP Air Share v1.2 was discovered to contain a cross-site scripting (XSS) vulnerability in the path parameter of the `list` and `download` exception-handling. This vulnerability allows attackers to execute arbitrary web scripts or HTML via a crafted GET request.

CVE-2020-36490

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** DedeCMS v7.5 SP2 was discovered to contain multiple cross-site scripting (XSS) vulnerabilities in the component file_manage_view.php via the `activepath`, `keyword`, `tag`, `fmdo=x&filename`, `CKEditor` and `CKEditorFuncNum` parameters.

CVE-2020-23060

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** Internet Download Manager 6.37.11.1 was discovered to contain a stack buffer overflow in the Export/Import function. This vulnerability allows attackers to escalate local process privileges via a crafted ef2 file.

CVE-2020-23040

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** Sky File v2.1.0 contains a directory traversal vulnerability in the FTP server which allows attackers to access sensitive data and files via 'null' path commands.

CVE-2020-36489

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** Dropouts Technologies LLP Air Share v1.2 was discovered to contain a cross-site scripting (XSS) vulnerability in the devicename parameter. This vulnerability allows attackers to execute arbitrary web scripts or HTML via a crafted payload in the devicename information.

CVE-2020-23058

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** An issue in the authentication mechanism in Nong Ge File Explorer v1.4 unauthenticated allows to access sensitive data.

CVE-2020-23039

Gravedad: 
Sin asignar
Fecha publicación : 
22/10/2021
Última modificación: 
22/10/2021
Descripción:  
*** Pendiente de traducción *** Folder Lock v3.4.5 was discovered to contain a stored cross-site scripting (XSS) vulnerability in the Create Folder function under the 'create' module. This vulnerability allows attackers to execute arbitrary web scripts or HTML via a crafted payload as a path or folder name.

Páginas