Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Jenkins main y LTS (CVE-2012-4438)
Fecha de publicación:
18/11/2019
Idioma:
Español
Jenkins main versiones anteriores a 1.482 y LTS versiones anteriores a 1.466.2, permite a atacantes remotos con acceso de lectura y acceso HTTP al maestro Jenkins insertar datos y ejecutar código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2024

Vulnerabilidad en los parámetros "id", "storeId", "pageSize" y "tables" en pimcore/pimcore (CVE-2019-10763)
Fecha de publicación:
18/11/2019
Idioma:
Español
pimcore/pimcore versiones anteriores a 6.3.0, es vulnerable a una inyección SQL. Un atacante con privilegios limitados (permiso de clases) puede lograr una inyección SQL que puede conllevar al filtrado de datos. La vulnerabilidad puede ser explotada mediante los parámetros "id", "storeId", "pageSize" y "tables", utilizando una carga útil para desencadenar una inyección sql basada en el tiempo o un error.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2020

Vulnerabilidad en la biblioteca signmgr.dll en Comodo Internet Security (CVE-2019-18215)
Fecha de publicación:
18/11/2019
Idioma:
Español
Se detectó un problema en la biblioteca signmgr.dll versión 6.5.0.819 en Comodo Internet Security versiones hasta 12.0. Una vulnerabilidad de Precarga de DLL permite a un atacante implantar una DLL sin firmar llamada iLog.dll en un directorio de productos parcialmente desprotegido. Esta DLL es luego cargada en un servicio muy privilegio antes de que se cargue la lógica de comprobación de firma binaria, y puede omitir algunos de los mecanismos de autodefensa.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en una URL en los dispositivos de cámara inteligente C520V21 (CVE-2019-3423)
Fecha de publicación:
18/11/2019
Idioma:
Español
Una vulnerabilidad de permisos y control de acceso, que se presenta en versiones V2.1.14 y anteriores de dispositivos de cámara inteligente C520V21. Un atacante puede construir una URL para un salto de directorio y acceder a otros archivos o recursos no autorizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/11/2019

Vulnerabilidad en los servicios web en los dispositivos de cámara inteligente C520V21 (CVE-2019-3424)
Fecha de publicación:
18/11/2019
Idioma:
Español
Una vulnerabilidad de problemas de autenticación, que se presenta en versiones V2.1.14 y anteriores de dispositivos de cámara inteligente C520V21. Un atacante puede obtener automáticamente acceso a los servicios web desde el navegador autorizado del mismo ordenador y realizar operaciones.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en una página HTML en descarga de una plantilla desde un Reporte de CISO en Sandline Centraleyezer (CVE-2019-12311)
Fecha de publicación:
18/11/2019
Idioma:
Español
Sandline Centraleyezer (On Premises) permite una Carga de Archivos Sin Restricciones conllevando a una vulnerabilidad de tipo XSS Almacenado. Una página HTML que ejecuta un script podría ser cargada en el servidor. Cuando una víctima intenta descargar una plantilla desde un Reporte de CISO, el script es cargado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2019

Vulnerabilidad en las entidades HTML en el campo name de la sección Category en Sandline Centraleyezer (CVE-2019-12299)
Fecha de publicación:
18/11/2019
Idioma:
Español
Sandline Centraleyezer (On Premises) permite un ataque de tipo XSS Almacenado utilizando entidades HTML en el campo name de la sección Category.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2019

Vulnerabilidad en la funcionalidad de agregar ".jpg" en Sandline Centraleyezer (CVE-2019-12271)
Fecha de publicación:
18/11/2019
Idioma:
Español
Sandline Centraleyezer (On Premises) permite una Carga de Archivos Sin Restricciones con un tipo peligroso, porque la funcionalidad de agregar ".jpg" a cualquier nombre de archivo cargado no es aplicado en el lado del servidor.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2019

Vulnerabilidad en un DTD en una petición XML en CommandCenterWebServices/.*?wsdl en Raritan CommandCenter Secure Gateway (CVE-2018-20687)
Fecha de publicación:
18/11/2019
Idioma:
Español
Una vulnerabilidad de tipo XML external entity (XXE) en CommandCenterWebServices/.*?wsdl en Raritan CommandCenter Secure Gateway versiones anteriores a 8.0.0, permite a usuarios remotos no autenticados leer archivos arbitrarios o conducir ataques de tipo server-side request forgery (SSRF) por medio de un DTD diseñado en una petición XML.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2019

Vulnerabilidad en el controlador de modo kernel de NVIDIA en NVIDIA NVFlash, NVUFlash Tool y GPUModeSwitch Tool (CVE-2019-5688)
Fecha de publicación:
18/11/2019
Idioma:
Español
NVIDIA NVFlash, NVUFlash Tool versiones anteriores a v5.588.0 y GPUModeSwitch Tool versiones anteriores a 2019-11, el controlador de modo kernel de NVIDIA (nvflash.sys, nvflsh32.sys y nvflsh64.sys) contiene una vulnerabilidad en la cual los usuarios autenticados con privilegios administrativos pueden conseguir acceso a la memoria del dispositivo y los registros de otros dispositivos no administrados por NVIDIA, lo que puede conllevar a una escalada de privilegios, divulgación de información o denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el certificado SSL en la biblioteca ustream-ssl de OpenWrt (CVE-2019-5102)
Fecha de publicación:
18/11/2019
Idioma:
Español
Se presenta una vulnerabilidad de filtrado de información explotable en la biblioteca ustream-ssl de OpenWrt, versiones 18.06.4 y 15.05.1. Cuando se conecta a un servidor remoto, se comprueba el certificado SSL del servidor, pero no se toman medidas cuando el certificado no es válido. Un atacante podría explotar este comportamiento al realizar un ataque de tipo man-in-the-middle, proporcionando cualquier certificado, conllevando al robo de todos los datos enviados por el cliente durante la primera petición.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2023

Vulnerabilidad en la función __ustream_ssl_poll en la biblioteca ustream-ssl de OpenWrt (CVE-2019-5101)
Fecha de publicación:
18/11/2019
Idioma:
Español
Se presenta una vulnerabilidad de filtrado de información explotable en la biblioteca ustream-ssl de OpenWrt, versiones 18.06.4 y 15.05.1. Cuando se conecta a un servidor remoto, se comprueba el certificado SSL del servidor, pero no se toman medidas cuando el certificado no es válido. Un atacante podría explotar este comportamiento al realizar un ataque de tipo man-in-the-middle, proporcionando cualquier certificado, conllevando al robo de todos los datos enviados por el cliente durante la primera petición. Después de que una conexión SSL se inicializa por medio de _ustream_ssl_init, y después de que cualquier dato (por ejemplo, la petición HTTP del cliente) se escribe en la secuencia usando ustream_printf, el código eventualmente ingresa a la función __ustream_ssl_poll, que es usada para enviar los eventos de lectura/escritura.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2023
Suscribirse a Vulnerabilidades