Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Signiant Manager+Agents (CVE-2019-8996)
Fecha de publicación:
21/02/2019
Idioma:
Español
En Signiant Manager+Agents, en versiones anteriores a la 13.5, la implementación del comando "set" tiene un desbordamiento de búfer.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/03/2023

Vulnerabilidad en Drupal (CVE-2019-6340)
Fecha de publicación:
21/02/2019
Idioma:
Español
Algunos tipos de campos no sanean correctamente los datos provenientes de fuentes "non-form" en Drupal en sus versiones 8.5.x anteriores a la 8.5.11 y en las versiones 8.6.x anteriores a la 8.6.10. Esto puede provocar, en algunos casos, la ejecución de código PHP. Un sitio solo se ve afectado por esto si se cumple una de las siguientes condiciones. Este sitio tiene el módulo Drupal 8 core RESTful Web Services (rest) habilitado y permite peticiones PATCH o POST, o el sitio tiene otro módulo de servicios web habilitado, como JSON:API en Drupal 8 o Services o RESTful Web Services en Drupal 7. (Nota: El módulo de Drupal 7 Services mismo no precisa una actualización en este momento. Sin embargo, se deberían instalar otras actualizaciones contribuidas que estén asociadas con este aviso si "Service" se encuentra en uso.)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2025

Vulnerabilidad en software de Cisco (CVE-2019-1681)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en el servicio TFTP del software Convergence System 1000 Series de Cisco podría permitir a un atacante remoto no autenticado recuperar archivos arbitrarios del dispositivo objetivo, posiblemente resultando en una divulgación de información. Dicha vulnerabilidad se debe a la validación incorrecta de entrada de datos de parte del usuario por parte del software afectado. Un atacante podría explotar esta vulnerabilidad utilizando técnicas de salto de directorio en peticiones maliciosas enviadas al servicio TFTP en un dispositivo objetivo. Un exploit podría permitir al atacante recuperar archivos arbitrarios del dispositivo objetivo, conduciendo a la divulgación de información sensible. Esta vulnerabilidad afecta a las distribuciones de software de Cisco IOS XR anteriores a la 6.5.2 para dispositivos de Cisco Network Convergence System 1000 Series cuando el servicio TFTP está habilitado.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2023

Vulnerabilidad en Cisco Unity Connection (CVE-2019-1685)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la interfaz SSO (Single Sign-On) SAML (Security Assertion Markup Language) de Cisco Unity Connection podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en el sistema afectado. Esta vulnerabilidad se debe a la validación insuficiente de entrada de datos de parte del usuario en la interfaz web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información sensible basada en el navegador. La versión 12.5 se ve afectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2023

Vulnerabilidad en software de Cisco (CVE-2019-1691)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en el motor de detección del software Firepower Threat Defense de Cisco podría permitir a un atacante remoto no autenticado provocar el reinicio inesperado del motor de detección SNORT, conduciendo a una Denegación de Servicio (DoS). Esta vulnerabilidad se debe a la gestión de errores incompleta de la cabecera del paquete SSL o TLS durante el establecimiento de una conexión. Un atacante podría explotar esta vulnerabilidad enviando un paquete SSL o TLS manipulado durante el handshake de conexión. Si se explota con éxito, podría permitir que el atacante consiga que el motor de detección SNORT se reinicie inesperadamente, conduciendo a una condición DoS parcial durante el reinicio del motor de detección. Las versiones anteriores a la 6.2.3.4 se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en Cisco (CVE-2019-1684)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la implementación de Cisco Discovery Protocol o en Link Layer Discovery Protocol (LLDP) en Cisco IP Phone 7800 and 8800 Series podría permitir que un atacante adyacente no autenticado provoque que un teléfono afectado se recargue inesperadamente, lo que resulta en una condición temporal de denegación de servicio (DoS). Esta vulnerabilidad se debe a la falta de una validación de longitud de determinados campos de cabeceras de paquetes Cisco Discovery Protocol o LLDP. Un atacante podría explotar esta vulnerabilidad enviando un paquete Cisco Discovery Protocol o LLDP malicioso al teléfono objetivo. Si se explota con éxito, podría permitir que el atacante consiga que el teléfono afectado se reinicie, provocando una denegación de servicio (DoS) temporal. Todas las versiones anteriores a la 12.6(1)MN80 se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en software de Cisco (CVE-2019-1667)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la interfaz Graphite del software HyperFlex de Cisco podría permitir a un atacante local autenticado escribir datos arbitrarios en la interfaz Graphite. Esta vulnerabilidad se debe a controles de autorización insuficientes. Un atacante podría explotar esta vulnerabilidad conectándose al servicio Graphite y enviando datos arbitrarios. Un exploit exitoso podría permitir al atacante escribir datos arbitrarios en Graphite, lo que podría conducir a la existencia de estadísticas inválidas en la interfaz. Todas las versiones anteriores a la 3.5(2a) se ven afectadas.
Gravedad CVSS v3.1: BAJA
Última modificación:
28/10/2021

Vulnerabilidad en PHP (CVE-2018-20783)
Fecha de publicación:
21/02/2019
Idioma:
Español
En PHP, en versiones anteriores a la 5.6.39, en las versiones 7.x anteriores a la 7.1.25 y en las 7.2.x anteriores a la 7.2.13, una sobrelectura de búfer en las funciones de lectura PHAR podría permitir a un atacante leer la memoria, ya sea asignada o no, posterior a los datos actuales durante el análisis de un archivo .phar. Esto está relacionado con phar_parse_pharfile en ext/phar/phar.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2019

Vulnerabilidad en software de Cisco (CVE-2019-1665)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión web del software HyperFlex de Cisco podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en un sistema afectado. La vulnerabilidad se debe a la validación insuficiente de entrada de datos de parte del usuario en la interfaz de gestión web de un sistema afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información sensible basada en el navegador. Todas las versiones anteriores a la 3.5(1a) se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Netis WF2411Netis WF2411 (CVE-2019-8985)
Fecha de publicación:
21/02/2019
Idioma:
Español
En Netis WF211, con la versión de firmware 2.1.36123, y otros dispositivos de Netis (posiblemente desde WF2411 hasta WF2800), hay un desbordamiento de búfer basado en pila que no precisa de autenticación. Esto puede conducir a una denegación de servicio (reinicio del dispositivo) o a la ejecución remota de código. Esta vulnerabilidad puede ser desencadenada por una petición GET con una cabecera HTTP larga "Authorization: Basic" que se gestiona de manera adecuada en user_auth->user_ok en /bin/boa.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en software de Cisco (CVE-2019-1664)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en el servicio hxterm del software HyperFlex de Cisco podría permitir a un atacante local no autenticado obtener acceso root a todos los nodos en el clúster. Esta vulnerabilidad se debe a controles de autenticación insuficientes. Un atacante podría explotar esta vulnerabilidad conectándose al servicio hxterm con usuario local sin privilegios. Una explotación exitosa podría permitir que un atacante obtenga acceso root a todos los nodos miembro del clúster HyperFlex. Esta vulnerabilidad afecta a las distribuciones del software HyperFlex de Cisco anteriores a la 3.5(2a).
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2020

Vulnerabilidad en software de Cisco (CVE-2019-1666)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en el servicio Graphite del software HyperFlex de Cisco podría permitir a un atacante remoto no autenticado recuperar datos desde el servicio Graphite. Esta vulnerabilidad se debe a controles de autenticación insuficientes. Un atacante podría explotar esta vulnerabilidad enviando comandos manipulados al servicio Graphite. Un exploit con éxito podría permitir que el atacante recupere estadísticas desde el servicio Graphite. Todas las versiones anteriores a la 3.5(2a) se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/10/2020
Suscribirse a Vulnerabilidades