Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Symantec Endpoint Protection (CVE-2017-13681)
Fecha de publicación:
06/11/2017
Idioma:
Español
Symantec Endpoint Protection, en versiones anteriores a SEP 12.1 RU6 MP9, podría ser susceptible a una vulnerabilidad de escalado de privilegios. Este tipo de problema permite que un usuario obtenga accesos elevados a recursos que, normalmente, suelen estar protegidos en niveles de acceso más bajos. En las circunstancias de este problema, la capacidad de este exploit está limitada por la necesidad de realizar varias escrituras de archivos y directorios al sistema de archivos local y, por lo tanto, no es posible en un ataque estándar de tipo drive-by.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Gentoo (CVE-2017-16638)
Fecha de publicación:
06/11/2017
Idioma:
Español
El paquete de Gentoo net-misc/vde en versiones anteriores a la 2.3.2-r4 podría permitir que miembros del grupo "qemu" obtengan privilegios root mediante la creación de un vínculo físico en un directorio en el que "chown" es llamado recursivamente por el script de servicio OpenRC.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en Symantec Endpoint Protection (CVE-2017-6331)
Fecha de publicación:
06/11/2017
Idioma:
Español
En versiones anteriores a SEP 14 RU1, el producto Symantec Endpoint Protection puede encontrarse con un problema de omisión de protección contra manipulaciones, que es un tipo de ataque que omite la protección en tiempo real para la aplicación que se ejecuta en servidores y clientes.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Advantech WebAccess (CVE-2017-14016)
Fecha de publicación:
06/11/2017
Idioma:
Español
Se ha descubierto un problema de desbordamiento de búfer basado en pila en Advantech WebAccess en versiones anteriores a la V8.2_20170817. La aplicación no posee una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en pila. Esto podría permitir que un atacante ejecute código arbitrario bajo el contexto del proceso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Bludit (CVE-2017-16636)
Fecha de publicación:
06/11/2017
Idioma:
Español
En Bludit v1.5.2 y v2.0.1, una vulnerabilidad de XSS se localiza en el contexto del mensaje de cuerpo new page, new category y edit post. Los atacantes remotos son capaces de omitir la validación básica del editor para desencadenar Cross-Site Scripting. El XSS es persistente y el método de petición que se debe emplear para inyectar a través del editor es GET. Para guardar el contexto del editor, la petición de método POST de seguimiento debe ser procesada para realizar el ataque mediante el lado de la aplicación. La validación básica del editor no permite la inyección de código script y bloquea el contexto. Los atacantes pueden inyectar el código mediante el uso de un editor de etiquetas que o¡no está reconocido por la validación básica. Esto permitiría que una cuenta de usuario restringida inyecte código script malicioso para realizar un ataque persistente contra cuentas de usuario con mayores privilegios basados en web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en TinyWebGallery (CVE-2017-16635)
Fecha de publicación:
06/11/2017
Idioma:
Español
En TinyWebGallery v2.4, una vulnerabilidad XSS se localiza en los parámetros "mkname", "mkitem" e "item" del módulo "Add/Create". Los atacantes remotos con cuentas de usuario con pocos privilegios para el acceso backend son capaces de inyectar códigos script maliciosos en el listado de ítems "TWG Explorer". El método de petición que se tendría que inyectar es POST y el vector de ataque se sitúa en el lado de la aplicación del servicio. El punto de inyección es el campo de entrada add/create y el punto de ejecución ocurre en el listado de ítems tras la adición o la creación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Vectura Perfect Privacy VPN Manager (CVE-2017-16637)
Fecha de publicación:
06/11/2017
Idioma:
Español
En Vectura Perfect Privacy VPN Manager v1.10.10 y v1.10.11, al restablecer los datos de la red mediante el cliente del software con una conexión VPN en activo, ocurre un error crítico que conduce a un cierre inesperado de "FrmAdvancedProtection". Aunque el mecanismo no funciona correctamente y el error ocurre durante el tiempo de ejecución con la emisión del seguimiento de la pila, el proceso del software no se finaliza correctamente. El cliente del software sigue intentando mantener la conexión incluso aunque la conexión a la red se está restableciendo al mismo tiempo. En ese modo inseguro, el componente "FrmAdvancedProtection" se cierra inesperadamente, pero el proceso continúa ejecutándose con diferentes errores y corrupciones del proceso. Esta vulnerabilidad de corrupción local puede ser explotada por atacantes locales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Advantech WebAccess (CVE-2017-12719)
Fecha de publicación:
06/11/2017
Idioma:
Español
Se ha descubierto un problema de desreferencia de puntero no fiable en Advantech WebAccess en versiones anteriores a la V8.2_20170817. Un atacante remoto puede ejecutar código para desreferenciar un puntero en el programa, provocando que la aplicación deje de estar disponible.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Siemens SIMATIC PCS (CVE-2017-14023)
Fecha de publicación:
06/11/2017
Idioma:
Español
Se ha descubierto un problema de validación incorrecta de entradas en Siemens SIMATIC PCS 7 V8.1 en versiones anteriores a V8.1 SP1 con WinCC V7.3 Upd 13 y V8.2 en todas las versiones. Se ha identificado la vulnerabilidad de validación incorrecta de entradas, que podría permitir que un atacante remoto autenticado que sea miembro del grupo de administradores provoque el cierre inesperado de servicios mediante el envío de mensajes especialmente manipulados a la interfaz DCOM.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en ABB FOX515T (CVE-2017-14025)
Fecha de publicación:
06/11/2017
Idioma:
Español
Se ha descubierto un problema de autenticación incorrecta en ABB FOX515T en su versión 1.0. Se ha identificado una vulnerabilidad de validación incorrecta de entradas, que permite que un atacante local proporcione un parámetro malicioso al script que no es validado por la aplicación. Esto podría permitir que el atacante recupere cualquier archivo del servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Trihedral VTScada (CVE-2017-14029)
Fecha de publicación:
06/11/2017
Idioma:
Español
Se ha descubierto un problema de elemento de ruta de búsqueda no controlado en Trihedral VTScada en la versión 11.3.03 y anteriores. El programa ejecutará archivos dll maliciosos especialmente manipulados en la máquina objetivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Trihedral VTScada (CVE-2017-14031)
Fecha de publicación:
06/11/2017
Idioma:
Español
Se ha descubierto un problema de control de acceso incorrecto en Trihedral VTScada en la versión 11.3.03 y anteriores. Un usuario local no administrador tiene privilegios para leer y escribir en el sistema de archivos de la máquina objetivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades