Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Matrix Sydent (CVE-2019-11340)
Fecha de publicación:
19/04/2019
Idioma:
Español
Vulnerabilidad en archivo util/emailutils.py en Matrix Sydent anterior a las restricciones de registro de la versión 1.0.2 basado en el dominio de correo electrónico, si la opción allowed_local_3pids está habilitada. Esto ocurre debido a un comportamiento potencialmente no deseado en Python, en el que una llamada de email.utils.parseaddr en user@bad.example.net@good.example.com devuelve la subcadena user@bad.example.net.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2019

Vulnerabilidad en studio profile decoder (CVE-2019-11339)
Fecha de publicación:
19/04/2019
Idioma:
Español
Studio profile decoder en libavcodec/mpeg4videodec.c en FFmpeg versiones 4.0 anteriores a 4.0.4 y 4.1 anteriores a 4.1.2 permite a los atacantes remotos causar una denegación de servicio (out-of-array access) o posiblemente tener otro impacto no especificado a través de datos de vídeo MPEG-4 creados.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2019

Vulnerabilidad en FFmpeg (CVE-2019-11338)
Fecha de publicación:
19/04/2019
Idioma:
Español
libavcodec/hevcdec.c en FFmpeg versión 3.4 y versión 4.1.2 maneja de forma incorrecta la detección de los primeros cortes duplicados, lo que permite a los atacantes remotos causar una denegación de servicio (desreferencia de puntero NULL y acceso fuera de límites) o posiblemente tener otro impacto no especificado a través de datos HEVC diseñados.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2022

Vulnerabilidad en MKCMS (CVE-2019-11332)
Fecha de publicación:
18/04/2019
Idioma:
Español
MKCMS versión 5.0 permite a los atacantes remotos controlar las cuentas de usuario arbitrarias mediante la publicación de un nombre de usuario y dirección de correo electrónico hacia el archivo ucenter/Repass.php, que desencadena la transmisión de correo electrónico con la contraseña, como lo demuestra en 123456.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en WAC en el controlador Sangfor Sundray WLAN (CVE-2019-9161)
Fecha de publicación:
18/04/2019
Idioma:
Español
WAC en el controlador Sangfor Sundray WLAN versión 3.7.4.2 y anteriores, presenta un problema de ejecución de código remota que permite a atacantes remotos lograr acceso completo al sistema, porque los metacaracteres Shell en el archivo nginx_webconsole.php en el encabezado Cookie puede ser usado para leer un archivo etc/config/wac/wns_cfg_admin_detail.xml que contiene la contraseña de administrador. (La contraseña para root es la contraseña de administrador de WebUI concatenada con una cadena estática.)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en Sangfor Sundray WLAN (CVE-2019-9160)
Fecha de publicación:
18/04/2019
Idioma:
Español
WAC en el controlador Sangfor Sundray WLAN versión 3.7.4.2 y anterior, presenta una cuenta de puerta trasera que permite a un atacante remoto iniciar sesión en el sistema mediante SSH (en el puerto TCP 22345) y escalar a root (porque la contraseña para root es la contraseña de administrador de WebUI concatenada con una cadena estática).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/04/2019

Vulnerabilidad en En el MIUI OS (CVE-2019-11015)
Fecha de publicación:
18/04/2019
Idioma:
Español
Se encontró una vulnerabilidad en el MIUI OS versión 10.1.3.0, que permite a un atacante físicamente próximo omitir la autorización basada en LockScreen mediante la aplicación Wallpaper Carousel para conseguir datos confidenciales del portapapeles y las credenciales almacenadas del usuario (parcialmente). Esto ocurre debido al acceso de pegado a una página de inicio de sesión en redes sociales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en Network Time Protocol (NTP) (CVE-2019-11331)
Fecha de publicación:
18/04/2019
Idioma:
Español
Network Time Protocol (NTP), tal y como se especifica en el RFC 5905, utiliza el puerto 123 incluso para los modos en los que no se requiere un número de puerto fijo, lo que facilita a los atacantes remotos la realización de ataques fuera de ruta.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la urllib3 library para Python (CVE-2019-11324)
Fecha de publicación:
18/04/2019
Idioma:
Español
La urllib3 library versión anterior a 1.24.2 para Python maneja de forma incorrecta ciertos casos en los que el ajuste deseado de certificados de CA es diferente del almacén del sistema operativo de certificados de CA, lo que da como resultado que las conexiones SSL tengan éxito en situaciones en las que una falla de comprobación sea el resultado correcto. Esto está relacionado con el uso de los argumentos ssl_context, ca_certs o ca_certs_dir.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Dell SupportAssist Client (CVE-2019-3718)
Fecha de publicación:
18/04/2019
Idioma:
Español
Dell SupportAssist Client versiones anteriores a 3.2.0.90, contienen una vulnerabilidad de validación de origen inapropiada. Un atacante remoto no autenticado podría potencialmente explotar esta vulnerabilidad para intentar ataques CSRF en usuarios de los sistemas impactados.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2023

Vulnerabilidad en en Dell SupportAssist Client (CVE-2019-3719)
Fecha de publicación:
18/04/2019
Idioma:
Español
Las versiones de Dell SupportAssist Client anteriores a la versión 3.2.0.90 contienen una vulnerabilidad de ejecución de código remota. Un atacante no identificado, que comparte la capa de acceso a la red con el sistema vulnerable, puede comprometer al sistema vulnerable engañando a un usuario víctima para que descargue y active ejecutables arbitrarios por medio del cliente SupportAssist desde los sitios alojados por el atacante.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en Centos Web Panel (CVE-2019-10893)
Fecha de publicación:
18/04/2019
Idioma:
Español
CentOS-WebPanel.com (también conocido CWP) CentOS Web Panel 0.9.8.793 (Free/Open Source Version) y 0.9.8.753 (Pro) es vulnerable a Corss-Site Scripting (XSS) almacenado/persistente en el campo "Admin Email" en la pantalla "CWP Settings > "Edit Settings". Cambiando el ID del email a cualquier payload XSS y clicando en "Save Changes", se ejecutará el payload XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/05/2019
Suscribirse a Vulnerabilidades