Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el componente Federation de OpenStack Keystone (CVE-2018-14432)
Fecha de publicación:
31/07/2018
Idioma:
Español
En el componente Federation de OpenStack Keystone en versiones anteriores a la 11.0.4, 12.0.0 y 13.0.0, una petición "GET /v3/OS-FEDERATION/projects" autenticada podría omitir las restricciones de acceso planeadas en los proyectos en lista. Un usuario autenticado podría descubrir proyectos a los que no están autorizados a acceder, filtrando todos los proyectos desplegados y sus atributos. Solo se ha visto afectado Keystone con el endpoint /v3/OS-FEDERATION habilitado mediante policy.json.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2021

Vulnerabilidad en Apache Tomcat Native (CVE-2018-8019)
Fecha de publicación:
31/07/2018
Idioma:
Español
Al emplear un respondedor OCSP, Apache Tomcat Native desde la versión 1.2.0 hasta la 1.2.16 y desde la versión 1.1.23 hasta la 1.1.34 no gestionó correctamente las respuestas inválidas. Esto permitió que los certificados de cliente revocados se identificasen erróneamente. Por lo tanto, era posible que los usuarios se autenticasen con certificados revocados al emplear TLS mutuo. Los usuarios que no emplean comprobaciones OCSP no se han visto afectados por esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Apache Camel (CVE-2018-8027)
Fecha de publicación:
31/07/2018
Idioma:
Español
Apache Camel, de la versión 2.20.0 a la 2.20.3 y en la versión 2.21.0 Core es vulnerable a XEE (XML External Entity) en el procesador de validación XSD.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2018-1718)
Fecha de publicación:
31/07/2018
Idioma:
Español
IBM Sterling B2B Integrator Standard Edition 5.2.0.1 - 5.2.6.3 es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 147166.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en el portal de desarrollo de IBM API Connect (CVE-2018-1638)
Fecha de publicación:
31/07/2018
Idioma:
Español
El portal de desarrollo de IBM API Connect 5.0.0.0-5.0.8.3 no aplica TFA (Two Factor Authentication) al restablecer una contraseña de usuario, pero lo aplica para el resto de escenarios de inicio de sesión. IBM X-Force ID: 144483.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Apache Tomcat Native (CVE-2018-8020)
Fecha de publicación:
31/07/2018
Idioma:
Español
Apache Tomcat Native desde la versión 1.2.0 hasta la 1.2.16 y desde la versión 1.1.23 hasta la 1.1.34 tiene un error por el cual no comprueba las respuestas OCSP preproducidas, las cuales son listas (múltiples entradas) de estados de certificados. Subsecuentemente, los certificados de cliente revocados no se identifican correctamente, lo que permite que los usuarios se autentiquen con certificados revocados en conexiones que requieren TLS mutuo. Los usuarios que no emplean comprobaciones OCSP no se han visto afectados por esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Kamailio (CVE-2018-14767)
Fecha de publicación:
31/07/2018
Idioma:
Español
En Kamailio, en versiones anteriores a la 5.0.7 y versiones 5.1.x anteriores a la 5.1.4, un mensaje SIP manipulado con una cabecera "To" doble y una etiqueta "To" vacía provoca un fallo de segmentación y un cierre inesperado. La razón es la falta de validación de entradas en la función core "build_res_buf_from_sip_req". Esto podría resultar en una denegación de servicio (DoS) y, potencialmente, la ejecución de código arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/10/2018

Vulnerabilidad en el módulo de npm "whereis" (CVE-2018-3772)
Fecha de publicación:
30/07/2018
Idioma:
Español
La concatenación de entradas de usuario no saneadas en el módulo de npm "whereis" en versiones anteriores a la 0.4.1 permitía que un atacante ejecute comandos arbitrarios. El módulo "whereis" está obsoleto y se recomienda emplear el módulo "which" en su lugar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en el módulo de npm "metascrape" (CVE-2018-3773)
Fecha de publicación:
30/07/2018
Idioma:
Español
Hay una vulnerabilidad de Cross-Site Scripting (XSS) persistente en la lectura de metapropiedades Open Graph por parte del módulo de npm "metascrape".
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2023

Vulnerabilidad en Prosody (CVE-2018-10847)
Fecha de publicación:
30/07/2018
Idioma:
Español
Prosody, en versiones anteriores a la 0.10.2 y 0.9.14, es vulnerable a una omisión de autenticación. Prosody no verificó que el host virtual asociado a una sesión de usuario se mantuviese igual durante los reinicios del flujo. Un usuario podría autenticarse en el host XMPP A y migrar su sesión autenticada al host XMPP B de la misma instancia Prosody.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en openstack-tripleo-heat-templates (CVE-2018-10898)
Fecha de publicación:
30/07/2018
Idioma:
Español
Se ha detectado una vulnerabilidad en openstack-tripleo-heat-templates en versiones anteriores a la 8.0.2-40. Al implementarse mediante Director con la configuración por defecto, Opendaylight en RHOSP13 se configura con credenciales por defecto fácilmente adivinables.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2021

Vulnerabilidad en el sistema de archivos ext4 del kernel de Linux (CVE-2018-10883)
Fecha de publicación:
30/07/2018
Idioma:
Español
Se ha encontrado un error en el sistema de archivos ext4 del kernel de Linux. Un usuario local puede provocar una escritura fuera de límites en jbd2_journal_dirty_metadata, una denegación de servicio (DoS) y un cierre inesperado del sistema montando y operando una imagen del sistema de archivos ext4 manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023
Suscribirse a Vulnerabilidades