Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2019-19914

Gravedad: 
Sin asignar
Fecha publicación : 
02/04/2020
Última modificación: 
02/04/2020
Descripción:  
*** Pendiente de traducción *** ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.

CVE-2020-5283

Gravedad: 
Sin asignar
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** ViewVC before versions 1.1.28 and 1.2.1 has a XSS vulnerability in CVS show_subdir_lastmod support. The impact of this vulnerability is mitigated by the need for an attacker to have commit privileges to a CVS repository exposed by an otherwise trusted ViewVC instance that also has the `show_subdir_lastmod` feature enabled. The attack vector involves files with unsafe names (names that, when embedded into an HTML stream, would cause the browser to run unwanted code), which themselves can be challenging to create. This vulnerability is patched in versions 1.2.1 and 1.1.28.

CVE-2020-11499

Gravedad: 
Sin asignar
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** Firmware Analysis and Comparison Tool (FACT) 3 has Stored XSS when updating analysis details via a localhost web request, as demonstrated by mishandling of the tags and version fields in helperFunctions/mongo_task_conversion.py.

CVE-2020-11498

Gravedad: 
Sin asignar
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** Slack Nebula through 1.1.0 contains a relative path vulnerability that allows a low-privileged attacker to execute code in the context of the root user via tun_darwin.go or tun_windows.go. A user can also use Nebula to execute arbitrary code in the user's own context, e.g., for user-level persistence or to bypass security controls. NOTE: the vendor states that this "requires a high degree of access and other preconditions that are tough to achieve."

CVE-2020-10515

Gravedad: 
Sin asignar
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** STARFACE UCC Client before 6.7.1.204 on WIndows allows binary planting to execute code with System rights, aka usd-2020-0006.

CVE-2020-7624

Gravedad: 
Alta
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** effect through 1.0.4 is vulnerable to Command Injection. It allows execution of arbitrary command via the options argument.

CVE-2020-7625

Gravedad: 
Alta
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** op-browser through 1.0.6 is vulnerable to Command Injection. It allows execution of arbitrary commands via the url function.

CVE-2020-7626

Gravedad: 
Alta
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** karma-mojo through 1.0.1 is vulnerable to Command Injection. It allows execution of arbitrary commands via the config argument.

CVE-2020-7627

Gravedad: 
Alta
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** node-key-sender through 1.0.11 is vulnerable to Command Injection. It allows execution of arbitrary commands via the 'arrParams' argument in the 'execute()' function.

CVE-2020-7628

Gravedad: 
Alta
Fecha publicación : 
02/04/2020
Última modificación: 
03/04/2020
Descripción:  
*** Pendiente de traducción *** install-package through 1.1.6 is vulnerable to Command Injection. It allows execution of arbitrary commands via the device function.

Páginas