Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2020-7244

Gravedad: 
Sin asignar
Fecha publicación : 
20/01/2020
Última modificación: 
20/01/2020
Descripción:  
*** Pendiente de traducción *** Comtech Stampede FX-1010 7.4.3 devices allow remote authenticated administrators to achieve remote code execution by navigating to the Poll Routes page and entering shell metacharacters in the Router IP Address field. (In some cases, authentication can be achieved with the comtech password for the comtech account.)

CVE-2020-7242

Gravedad: 
Sin asignar
Fecha publicación : 
20/01/2020
Última modificación: 
20/01/2020
Descripción:  
*** Pendiente de traducción *** Comtech Stampede FX-1010 7.4.3 devices allow remote authenticated administrators to achieve remote code execution by navigating to the Diagnostics Trace Route page and entering shell metacharacters in the Target IP address field. (In some cases, authentication can be achieved with the comtech password for the comtech account.)

CVE-2020-7243

Gravedad: 
Sin asignar
Fecha publicación : 
20/01/2020
Última modificación: 
20/01/2020
Descripción:  
*** Pendiente de traducción *** Comtech Stampede FX-1010 7.4.3 devices allow remote authenticated administrators to achieve remote code execution by navigating to the Fetch URL page and entering shell metacharacters in the URL field. (In some cases, authentication can be achieved with the comtech password for the comtech account.)

CVE-2020-7240

Gravedad: 
Sin asignar
Fecha publicación : 
20/01/2020
Última modificación: 
20/01/2020
Descripción:  
*** Pendiente de traducción *** Meinberg Lantime M300 and M1000 devices allow attackers (with privileges to configure a device) to execute arbitrary OS commands by editing the /config/netconf.cmd script (aka Extended Network Configuration).

CVE-2020-7241

Gravedad: 
Sin asignar
Fecha publicación : 
20/01/2020
Última modificación: 
20/01/2020
Descripción:  
*** Pendiente de traducción *** The WP Database Backup plugin through 5.5 for WordPress stores downloads by default locally in the directory wp-content/uploads/db-backup/. This might allow attackers to read ZIP archives by guessing random ID numbers, guessing date strings with a 2020_{0..1}{0..2}_{0..3}{0..9} format, guessing UNIX timestamps, and making HTTPS requests with the complete guessed URL.

CVE-2019-20381

Gravedad: 
Sin asignar
Fecha publicación : 
20/01/2020
Última modificación: 
20/01/2020
Descripción:  
*** Pendiente de traducción *** TestLink before 1.9.20 allows XSS via non-lowercase javascript: in the index.php reqURI parameter. NOTE: this issue exists because of an incomplete fix for CVE-2019-19491.

CVE-2020-7215

Gravedad: 
Sin asignar
Fecha publicación : 
20/01/2020
Última modificación: 
20/01/2020
Descripción:  
*** Pendiente de traducción *** An issue was discovered in Gallagher Command Centre 7.x before 7.90.991(MR5), 8.00 before 8.00.1161(MR5), and 8.10 before 8.10.1134(MR4). External system configuration data (used for third party integrations such as DVR systems) were logged in the Command Centre event trail. Any authenticated operator with the 'view events' privilege could see the full configuration, including cleartext usernames and passwords, under the event details of a Modified DVR System event.

CVE-2020-7237

Gravedad: 
Sin asignar
Fecha publicación : 
20/01/2020
Última modificación: 
20/01/2020
Descripción:  
*** Pendiente de traducción *** Cacti 1.2.8 allows Remote Code Execution (by privileged users) via shell metacharacters in the Performance Boost Debug Log field of poller_automation.php. OS commands are executed when a new poller cycle begins. The attacker must be authenticated, and must have access to modify the Performance Settings of the product.

Vulnerabilidad en el campo SSID en la pantalla Configuración ) Radio 2.4G ) Wireless X en los dispositivos Ruckus ZoneFlex R310 (CVE-2020-7234)

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2020
Última modificación: 
21/01/2020
Descripción:  
Los dispositivos Ruckus ZoneFlex R310 versión 104.0.0.0.1347, permiten un ataque de tipo XSS almacenado por medio del campo SSID en la pantalla Configuration ) Radio 2.4G ) Wireless X (después de un inicio de sesión con éxito en la cuenta super).

Vulnerabilidad en el título del perfil en los dispositivos UHP UHP-100 (CVE-2020-7235)

Gravedad: 
Sin asignar
Fecha publicación : 
19/01/2020
Última modificación: 
21/01/2020
Descripción:  
Los dispositivos UHP UHP-100 versiones 3.4.1.15, 3.4.2.4 y 3.4.3, permiten un ataque de tipo XSS por medio de cB3?ta= (el título del perfil).

Páginas