Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IsilonSD Management Server (CVE-2019-3708)

Fecha de publicación:
17/04/2019
Idioma:
Español
IsilonSD Management Server versión 1.1.0, contiene una vulnerabilidad de tipo cross-site scripting durante la carga de un archivo OVA. Un atacante remoto puede engañar a un usuario administrador para operar potencialmente esta vulnerabilidad y ejecutar código HTML o JavaScript malicioso en el contexto del usuario administrador.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en IsilonSD Management (CVE-2019-3709)

Fecha de publicación:
17/04/2019
Idioma:
Español
IsilonSD Management Server versión 1.1.0 contiene una vulnerabilidad de tipo cross-site scripting durante el registro servidores vCenter. Un atacante remoto puede engañar a un usuario administrador para operar potencialmente esta vulnerabilidad y ejecutar código HTML o JavaScript malicioso en el contexto del usuario administrador.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en Cloud Foundry Cloud Controller API Release (CVE-2019-3798)

Fecha de publicación:
17/04/2019
Idioma:
Español
Cloud Foundry Cloud Controller API Release, versiones anteriores a la 1.79.0, contiene una autenticación incorrecta al validar los permisos de los usuarios. Un usuario malicioso y autenticado en forma remota con la capacidad de crear clientes UAA y el conocimiento del correo electrónico de una víctima en la fundación puede escalar sus privilegios a los de la víctima creando un cliente con un nombre igual a la guía de su víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en 389-ds-base (CVE-2019-3883)

Fecha de publicación:
17/04/2019
Idioma:
Español
En 389-ds-base hasta la versión 1.4.1.2, las peticiones son manejadas por hilos de trabajo. Cada conexión será esperada mediante el trabajador durante un máximo de segundos de 'ioblocktimeout'. Sin embargo, este tiempo de espera se aplica solo para peticiones sin cifrar. Las conexiones que usan SSL/TLS no toman en cuenta este tiempo de espera durante l
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en Las implementaciones SAE en hostapd y wpa_supplicant (CVE-2019-9494)

Fecha de publicación:
17/04/2019
Idioma:
Español
Las implementaciones SAE en hostapd y wpa_supplicant son vulnerables a los ataques de canal lateral (side channel) como resultado de diferencias de tiempo observables y patrones de acceso a la caché. Un atacante puede conseguir información filtrada de un ataque de canal lateral (side channel) que pueda ser usado para la recuperación completa de la contraseña. Tanto hostapd con soporte SAE como wpa_supplicant con soporte SAE antes e incluyendo la versión 2.7 están afectados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en EAP-PWD en hostapd y wpa_supplicant (CVE-2019-9495)

Fecha de publicación:
17/04/2019
Idioma:
Español
Las implementaciones de EAP-PWD en hostapd y wpa_supplicant son vulnerables a los ataques de canal lateral (side-channel) como resultado de los patrones de acceso a la caché. Todas las versiones de hostapd y wpa_supplicant con soporte de EAP-PWD son vulnerables. La capacidad de instalar y ejecutar aplicaciones es necesaria para un ataque con exito. Los patrones de acceso a memoria son visibles en caché compartido. Las contraseñas débiles pueden ser crackeadas. Las versiones de hostapd/wpa_supplicant versión 2.7 y posteriores, no son vulnerables al ataque de tiempo descrito en CVE-2019-9494. Tanto hostapd con soporte EAP-pwd como wpa_supplicant con soporte EAP-pwd anterior y con la versión 2.7 están afectados.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/06/2026

Vulnerabilidad en hostapd con soporte SAE como wpa_supplicant con soporte SAE (CVE-2019-9496)

Fecha de publicación:
17/04/2019
Idioma:
Español
Una secuencia de autorización no válida puede conllevar a que el proceso de hostapd termine a causa de que faltan pasos de comprobación de estado al procesar el mensaje de confirmación SAE cuando está en el modo hostapd/AP. Todas las versiones de hostapd con soporte SAE son vulnerables. Un atacante puede forzar la terminación del proceso de hostapd, realizando un ataque de Denegación de Servicio (DoS). Tanto hostapd con soporte SAE como wpa_supplicant con soporte SAE e incluyendo la versión 2.7 están afectados.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en EAP-PWD en hostapd en EAP Server y wpa_supplicant en EAP Peer (CVE-2019-9497)

Fecha de publicación:
17/04/2019
Idioma:
Español
Las implementaciones de EAP-PWD en hostapd en EAP Server y wpa_supplicant en EAP Peer, no comprueban los valores escalares y de elementos en EAP-pwd-Commit. Esta vulnerabilidad puede permitir que un atacante complete la identificación EAP-PWD sin conocer la contraseña. Sin embargo, a menos que la biblioteca criptográfica no implemente comprobaciones adicionales para el punto EC, el atacante no podrá derivar la clave de sesión o completar el intercambio de claves. Tanto hostapd con soporte SAE como wpa_supplicant con soporte SAE anterior e incluyendo la versión 2.4 son impactados. Tanto hostapd con soporte EAP-pwd como wpa_supplicant con soporte EAP-pwd anterior y con la versión 2.7 están afectaos.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en CP 1604 y CP1616 (CVE-2018-13808)

Fecha de publicación:
17/04/2019
Idioma:
Español
Se ha identificado una vulnerabilidad en CP 1604 (todas las versiones), CP 1616 (todas las versiones). Un atacante con acceso de red al puerto 23/tcp podría extraer datos de comunicación interna o provocar una condición de denegación de servicio (DoS). La explotación con éxito requiere acceso de red a un dispositivo vulnerable. En el momento de la publicación consultiva, no se conocía públicamente la explotación de esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2026

Vulnerabilidad en CP 1604 y CP 1616 (CVE-2018-13809)

Fecha de publicación:
17/04/2019
Idioma:
Español
Se ha identificado una vulnerabilidad en CP 1604 (todas las versiones), CP 1616 (todas las versiones). El servidor web integrado de los dispositivos CP afectados podría permitir ataques tipo Cross-Site Scripting (XSS) si se engaña a los usuarios desprevenidos para que sigan un enlace malicioso. La interacción del usuario es necesaria para una explotación con éxito. En el momento de la publicación consultiva, no se conocía la explotación pública de esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en OneLogin Ruby-SAML (CVE-2017-11428)

Fecha de publicación:
17/04/2019
Idioma:
Español
OneLogin Ruby-SAML versión 1.6.0 y versiones anteriores pueden utilizar incorrectamente los resultados de las API de migración y canonicalización de DOM de XML de tal manera que un atacante pueda manipular los datos SAML sin invalidar la firma criptográfica, lo que permite que el ataque omita la autorización de los proveedores de servicio SAML.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en Clever saml2-js (CVE-2017-11429)

Fecha de publicación:
17/04/2019
Idioma:
Español
Clever saml2-js versión 2.0 y versiones anteriores pueden utilizar incorrectamente los resultados de las API de transversalización y canonicalización de DOM de XML de tal manera que un atacante pueda manipular los datos SAML sin invalidar la firma criptográfica, lo que permite que el ataque omita la identificación de los proveedores del servicio SAML.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026