Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2020-11997

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** Apache Guacamole 1.2.0 and earlier do not consistently restrict access to connection history based on user visibility. If multiple users share access to the same connection, those users may be able to see which other users have accessed that connection, as well as the IP addresses from which that connection was accessed, even if those users do not otherwise have permission to see other users.

CVE-2020-27266

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, a client-side control vulnerability in the insulin pump and its AnyDana-i and AnyDana-A mobile applications allows physically proximate attackers to bypass user authentication checks via Bluetooth Low Energy.

CVE-2020-27268

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, a client-side control vulnerability in the insulin pump and its AnyDana-i and AnyDana-A mobile applications allows physically proximate attackers to bypass checks for default PINs via Bluetooth Low Energy.

CVE-2020-27269

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, the communication protocol of the insulin pump and its AnyDana-i and AnyDana-A mobile applications lacks replay protection measures, which allows unauthenticated, physically proximate attackers to replay communication sequences via Bluetooth Low Energy.

CVE-2020-28707

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** The Stockdio Historical Chart plugin before 2.8.1 for WordPress is affected by Cross Site Scripting (XSS) via stockdio_chart_historical-wp.js in wp-content/plugins/stockdio-historical-chart/assets/ because the origin of a postMessage() event is not validated. The stockdio_eventer function listens for any postMessage event. After a message event is sent to the application, this function sets the "e" variable as the event and checks that the types of the data and data.method are not undefined (empty) before proceeding to eval the data.method received from the postMessage. However, on a different website. JavaScript code can call window.open for the vulnerable WordPress instance and do a postMessage(msg,'*') for that object.

CVE-2020-29598

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** The My AIA SG application 1.2.6 for Android allows attackers to obtain user credentials via logcat because of excessive logging.

CVE-2020-27256

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, a hard-coded physician PIN in the physician menu of the insulin pump allows attackers with physical access to change insulin therapy settings.

CVE-2020-27258

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, an information disclosure vulnerability in the communication protocol of the insulin pump and its AnyDana-i and AnyDana-A mobile applications allows unauthenticated attackers to extract the pump’s keypad lock PIN via Bluetooth Low Energy.

CVE-2020-27264

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, the communication protocol of the insulin pump and its AnyDana-i and AnyDana-A mobile applications use deterministic keys, which allows unauthenticated, physically proximate attackers to brute-force the keys via Bluetooth Low Energy.

CVE-2021-21263

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2021
Última modificación: 
19/01/2021
Descripción:  
*** Pendiente de traducción *** Laravel is a web application framework. Versions of Laravel before 6.20.11, 7.30.2 and 8.22.1 contain a query binding exploitation. This same exploit applies to the illuminate/database package which is used by Laravel. If a request is crafted where a field that is normally a non-array value is an array, and that input is not validated or cast to its expected type before being passed to the query builder, an unexpected number of query bindings can be added to the query. In some situations, this will simply lead to no results being returned by the query builder; however, it is possible certain queries could be affected in a way that causes the query to return unexpected results.

Páginas