Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en YzmCMS (CVE-2018-7479)
Fecha de publicación:
26/02/2018
Idioma:
Español
YzmCMS 3.6 permite que atacantes remotos descubran la ruta completa mediante una petición directa a application/install/templates/s1.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2022

Vulnerabilidad en Apache Geode (CVE-2017-15696)
Fecha de publicación:
26/02/2018
Idioma:
Español
Cuando un clúster de Apache Geode, en versiones anteriores a la v1.4.0, está operando en modo seguro, el servicio de configuración Geode no autoriza las peticiones de configuración correctamente. Esto permite que un usuario no privilegiado que obtenga acceso al localizador Geode extraiga datos de configuración y el código de la aplicación anteriormente implementado.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en PureVPN (CVE-2018-7484)
Fecha de publicación:
26/02/2018
Idioma:
Español
Se ha descubierto un problema en PureVPN hasta su versión 5.19.4.0 en Windows. La instalación del cliente proporciona al grupo Everyone permisos de control total sobre el directorio de instalación. Además, el servicio PureVPNService.exe, que se ejecuta con privilegios NT Authority\SYSTEM, intenta cargar varias librerías dynamic-link mediante el uso de rutas relativas en lugar de la ruta absoluta. Al no emplear una ruta totalmente cualificada, la aplicación intentará cargar la librería desde el directorio en el que la aplicación se inicia. Como el directorio en el que se encuentra PureVPNService.exe puede ser escrito por todos los usuarios, esto hace que la aplicación sea susceptible a escalado de privilegios mediante secuestro de DLL.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2018

Vulnerabilidad en la función blkcg_init_queue en el kernel de Linux (CVE-2018-7480)
Fecha de publicación:
25/02/2018
Idioma:
Español
La función blkcg_init_queue en block/blk-cgroup.c en el kernel de Linux, en versiones anteriores a la 4.11, permite que los usuarios locales provoquen una denegación de servicio (doble liberación) o, posiblemente, causen otros impactos no especificados desencadenando un fallo de creación.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2023

Vulnerabilidad en dayrui FineCms (CVE-2018-7476)
Fecha de publicación:
25/02/2018
Idioma:
Español
controllers/admin/Linkage.php en dayrui FineCms 5.3.0 tiene Cross-Site Scripting (XSS) mediante los parámetros id o lid en una petición c=linkage,m=import a admin.php, debido a que el mecanismo de protección xss_clean se derrota al manipular entradas que carecen de los caracteres "".
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2024

Vulnerabilidad en la función IsWEBPImageLossless en ImageMagick (CVE-2018-7470)
Fecha de publicación:
25/02/2018
Idioma:
Español
Se ha descubierto un problema en ImageMagick 7.0.7-22 Q16. La función IsWEBPImageLossless en coders/webp.c permite que atacantes remotos provoquen una denegación de servicio (violación de segmentación) mediante un archivo manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2018

Vulnerabilidad en KingView (CVE-2018-7471)
Fecha de publicación:
25/02/2018
Idioma:
Español
KingView 7.5SP1 tiene un desbordamiento de enteros durante las operaciones de lectura de la API stgopenstorage.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2018

Vulnerabilidad en TestLink (CVE-2018-7466)
Fecha de publicación:
25/02/2018
Idioma:
Español
install/installNewDB.php en TestLink, hasta la versión 1.9.16, permite que atacantes remotos lleven a cabo ataques de inyección aprovechando el control sobre los datos DB LOGIN NAMES durante la instalación para proporcionar un valor largo y manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2019

Vulnerabilidad en INVT Studio (CVE-2018-7472)
Fecha de publicación:
25/02/2018
Idioma:
Español
INVT Studio 1.2 permite que atacantes remotos provoquen una denegación de servicio (DoS) durante las operaciones de importación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en Piwigo (CVE-2018-6883)
Fecha de publicación:
24/02/2018
Idioma:
Español
Piwigo, en versiones anteriores a la 2.9.3, tiene inyección SQL en admin/tags.php en el panel de administración mediante el parámetro tags del array en una petición admin.php?page=tags. El atacante debe ser un administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2018

Vulnerabilidad en JPXStream::readTilePart en xpdf (CVE-2018-7455)
Fecha de publicación:
24/02/2018
Idioma:
Español
Una lectura fuera de límites en JPXStream::fillReadBuf en JPXStream.cc en xpdf 4.00 permite que atacantes inicien una denegación de servicio (DoS) mediante un archivo pdf específico, tal y como demuestra pdftohtml.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2018

Vulnerabilidad en XFAForm::scanFields en xpdf (CVE-2018-7454)
Fecha de publicación:
24/02/2018
Idioma:
Español
Una desreferencia de puntero NULL en XFAForm::scanFields en XFAForm.cc en xpdf 4.00 permite que atacantes inicien una denegación de servicio (DoS) mediante un archivo pdf específico, tal y como demuestra pdftohtml.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2018
Suscribirse a Vulnerabilidades