Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2016-7029
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2016-7049
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en El plugin mb.miniAudioPlayer-an HTML5 audio player for your mp3 files de WordPress (CVE-2016-0796)
Fecha de publicación:
28/07/2022
Idioma:
Español
El plugin mb.miniAudioPlayer-an HTML5 audio player for your mp3 files de WordPress es propenso a múltiples vulnerabilidades, incluyendo vulnerabilidades de proxy abierto y de omisión de seguridad, ya que no verifica apropiadamente la entrada suministrada por el usuario. Un atacante puede aprovechar estos problemas para ocultar ataques dirigidos a un sitio objetivo desde detrás de un sitio web vulnerable o para llevar a cabo acciones restringidas de otra manera y, posteriormente, descargar archivos con la extensión mp3, mp4a, wav y ogg desde cualquier lugar en el que la aplicación del servidor web tenga acceso de lectura al sistema. El plugin mb.miniAudioPlayer-an HTML5 audio player for your mp3 files de WordPress es vulnerable en su versión 1.7.6; las versiones anteriores también pueden estar afectadas
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

CVE-2016-0786
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2016-2101
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2016-2122
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2016-3692
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2016-3700
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2016-3701
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2016-3730
Fecha de publicación:
28/07/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2016. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en libxml (CVE-2016-3709)
Fecha de publicación:
28/07/2022
Idioma:
Español
Una posible vulnerabilidad de tipo cross-site scripting en libxml versiones posteriores al commit 960f0e2
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Honeywell Experion PKS Safety Manager (SM y FSC) (CVE-2022-30315)
Fecha de publicación:
28/07/2022
Idioma:
Español
Honeywell Experion PKS Safety Manager (SM y FSC) versiones hasta 06-05-2022, presenta una verificación insuficiente de la autenticidad de los datos. De acuerdo con FSCT-2022-0053, se presenta un problema de controles de seguridad lógicos insuficientes en Honeywell Experion PKS Safety Manager. Los componentes afectados son caracterizados como: Honeywell FSC runtime (FSC-CPU, QPP), Honeywell Safety Builder. El impacto potencial es: Ejecución de código remota , denegación de servicio. La familia de controladores de seguridad Experion PKS de Honeywell usa el protocolo Safety Builder no autenticado (FSCT-2022-0051) para fines de ingeniería, incluyendo la descarga de proyectos y lógica de control al controlador. La lógica de control es descargada en el controlador bloque por bloque. La lógica que es descargada consiste en código FLD compilado a código máquina nativo para el módulo CPU (que es aplicado tanto a las familias Safety Manager como FSC). Como esta lógica no parece estar autenticada criptográficamente, permite a un atacante capaz de desencadenar una descarga de lógica ejecutar código máquina arbitrario en el módulo CPU del controlador en el contexto del tiempo de ejecución. Aunque los investigadores no han podido comprobarlo en detalle, creen que el microprocesador en el que son basados los módulos de la CPU del FSC y del Safety Manager es incapaz de ofrecer protección de memoria o capacidades de separación de privilegios, lo que daría a un atacante el control total del módulo de la CPU. No se presenta autenticación en la lógica de control descargada en el controlador. Es posible que carezca de capacidades de protección de memoria y separación de privilegios para el tiempo de ejecución. Los investigadores confirmaron los problemas en cuestión en Safety Manager versiones R145.1 y R152.2, pero sospechan que el problema afecta a todos los controladores FSC y SM y a las versiones de Safety Builder asociadas, independientemente de la revisión del software o del firmware. Un atacante que pueda comunicarse con un controlador Safety Manager por medio del protocolo Safety Builder puede ejecutar código arbitrario sin restricciones en el módulo de la CPU, lo que permite manipular de forma encubierta las operaciones de control e implantar capacidades similares a las del malware TRITON (MITRE ATT&CK software ID S1009). Un factor atenuante con respecto a algunas, pero no todas, las funcionalidades anteriores es que éstas requieren que el interruptor de llave físico del Safety Manager esté en la posición correcta
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023
Suscribirse a Vulnerabilidades