Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el endpoint /v1/continue en la función node_cache.find_node() en ironic-inspector de openstack (CVE-2019-10141)
Fecha de publicación:
30/07/2019
Idioma:
Español
Se detectó una vulnerabilidad en ironic-inspector de openstack en todas las versiones, excluyendo a la 5.0.2, 6.0.3, 7.2.4, 8.0.3 y 8.2.1. Se detectó una vulnerabilidad de inyección SQL en la función node_cache.find_node() de ironic-inspector de openstack. Esta función realiza una consulta SQL usando datos sin filtrar de un servidor que informa los resultados de la inspección (mediante una POST hacia el endpoint /v1/continue). Porque la API no está autenticada, el fallo podría ser explotado por un atacante con acceso a la red en la que ironic-inspector es detectado. Debido a que ironic-inspector usa los resultados de la consulta, es poco probable que se puedan obtener datos. Sin embargo, el atacante podría pasar datos maliciosos y crear una denegación de servicio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/08/2021

Vulnerabilidad en usuario en Rancher (CVE-2019-11202)
Fecha de publicación:
30/07/2019
Idioma:
Español
Se detectó un problema que afecta a las siguientes versiones de Rancher: versiones v2.0.0 hasta v2.0.13, versiones v2.1.0 hasta v2.1.8 y versiones v2.2.0 hasta 2.2.1. Cuando Rancher se inicia por primera vez, crea un usuario administrador por defecto con una contraseña conocida. Después de la configuración inicial, el administrador de Rancher puede elegir eliminar este usuario administrador por defecto. Si se reinicia Rancher, el usuario administrador por defecto se volverá a crear con la contraseña predeterminada conocida. Un atacante podría explotar esto mediante el inicio de sesión con las credenciales de administrador predeterminadas. Esto se puede mitigar mediante la desactivación del usuario administrador por defecto en lugar de completar su eliminación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/04/2022

Vulnerabilidad en el kernel de Linux. (CVE-2018-16871)
Fecha de publicación:
30/07/2019
Idioma:
Español
Se detectó un fallo en la implementación de NFS del kernel de Linux, todas las versiones 3.x y todas las versiones 4.x hasta 4.20. Un atacante, capaz de montar un sistema de archivos NFS exportado, es capaz de desencadenar una desreferencia de puntero null mediante el uso de una secuencia NFS no válida. Esto puede poner en pánico a la máquina y negar el acceso al servidor NFS. Se perderán todas las escrituras de disco pendientes en el servidor NFS.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2023

Vulnerabilidad en ECDSA en Crypto++ (CVE-2019-14318)
Fecha de publicación:
30/07/2019
Idioma:
Español
Crypto++ versión 8.3.0 y anterior, contiene un canal lateral de sincronización en la generación de firmas ECDSA. Esto permite a un atacante local o remoto, capaz de medir la duración de cientos a miles de operaciones de firma, calcular la clave privada utilizada. El problema se produce porque la multiplicación de scalar en el archivo ecp.cpp (curvas del campo principal, fugas pequeñas) y el archivo algebra.cpp (curvas del campo binario, fugas grandes) no son de tiempo constante y filtra la longitud de bits del scalar entre otra información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2019

Vulnerabilidad en kernel de Linux (CVE-2019-10142)
Fecha de publicación:
30/07/2019
Idioma:
Español
Se encontró un fallo en la implementación del gestor del hipervisor freescale del kernel de Linux, versiones del kernel 5.0.x hasta 5.0.17, excluyéndola. Un parámetro pasado hacia una ioctl se comprobó incorrectamente y se utilizó en los cálculos de tamaño para el cálculo del tamaño de página. Un atacante puede utilizar este fallo para bloquear el sistema, corromper la memoria, o crear otros efectos de seguridad adversos.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en estadísticas de columna para tablas en PostgreSQL (CVE-2019-10130)
Fecha de publicación:
30/07/2019
Idioma:
Español
Se detectó una vulnerabilidad en PostgreSQL versiones 11.x hasta 11.3 excluyéndola, versiones 10.x hasta 10.8 excluyéndola, versiones 9.6.x hasta 9.6.13 excluyéndola, versiones 9.5.x hasta 9.5.17 excluyéndola. PostgreSQL mantiene estadísticas de columna para tablas. Ciertas estadísticas, como los histogramas y las listas de valores más comunes, contienen valores tomados de la columna. PostgreSQL no evalúa las políticas de seguridad de fila antes de consultar esas estadísticas durante la planificación de la consulta; un atacante puede explotar esto para leer los valores más comunes de ciertas columnas. Las columnas afectadas son aquellas para las cuales el atacante tiene privilegio SELECT y para las cuales, en una consulta ordinaria, la seguridad a nivel de fila elimina el conjunto de filas visibles para el atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/09/2020

Vulnerabilidad en la API de novajoin en el plugin python-novajoin para Red Hat OpenStack Platform (CVE-2019-10138)
Fecha de publicación:
30/07/2019
Idioma:
Español
Se detectó un fallo en el plugin python-novajoin, todas las versiones hasta 1.1.1, excluyéndola, para Red Hat OpenStack Platform. La API de novajoin carecía de un control de acceso suficiente, permitiendo a cualquier usuario autenticado pulsaciones de teclas para generar tokens FreeIPA.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/09/2020

Vulnerabilidad en Passenger en cPanel (CVE-2019-14409)
Fecha de publicación:
30/07/2019
Idioma:
Español
cPanel anterior a versión 78.0.2, permite operaciones de lectura de archivos arbitrarias por medio de adminbin de Passenger (SEC-466).
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en Maketext en cPanel. (CVE-2019-14412)
Fecha de publicación:
30/07/2019
Idioma:
Español
Maketext en cPanel anterior a versión 78.0.2, permite la inyección de cadenas de formato en la UAPI check_domains_via_dns de DCV (SEC-474).
Gravedad CVSS v3.1: BAJA
Última modificación:
30/07/2019

Vulnerabilidad en la UAPI de store_filter del Correo Electrónico en Maketext en cPanel (CVE-2019-14410)
Fecha de publicación:
30/07/2019
Idioma:
Español
Maketext en cPanel anterior a versión 78.0.2, permite la inyección de cadenas de formato en la UAPI store_filter del Correo Electrónico (SEC-472).
Gravedad CVSS v3.1: BAJA
Última modificación:
30/07/2019

Vulnerabilidad en la UAPI de DCV en cPanel (CVE-2019-14411)
Fecha de publicación:
30/07/2019
Idioma:
Español
cPanel anterior a versión 78.0.2, no restringe apropiadamente las cuentas demo de escritura en los archivos por medio de la UAPI de DCV (SEC-473).
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en el restablecimiento de la conexión en cPanel (CVE-2019-14413)
Fecha de publicación:
30/07/2019
Idioma:
Español
cPanel anterior a versión 78.0.2, permite determinadas operaciones de escritura de archivos de usuarios compartidos durante el restablecimiento de la conexión (SEC-476).
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020
Suscribirse a Vulnerabilidades