Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en análisis de mensajes SMS OTA en la capa de transporte en diversos productos Snapdragon (CVE-2019-10487)
Fecha de publicación:
18/12/2019
Idioma:
Español
Una lectura excesiva puede presentarse al analizar mensajes SMS OTA en la capa de transporte si la red envía valores no deseados en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones APQ8009, APQ8017, APQ8053, APQ8096, APQ8096AU, APQ8098, MDM9150, MDM9205, MDM9206, MDM9607, MDM9615, MDM9625, MDM9635M, MDM9640, MDM9645, MDM9650, MDM9655, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8996AU, MSM8998, Nicobar, QCM2150, QCS605, QM215, SC8180X, SDA660, SDA845, SDM429, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDM850, SDX20, SDX24, SDX55, SM6150, SM7150, SM8150, SXR1130.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/12/2019

Vulnerabilidad en el controlador en eventos DIAG_EVENT_LOG_SUPPORTED en diversos productos Snapdragon. (CVE-2019-10536)
Fecha de publicación:
18/12/2019
Idioma:
Español
Un potencial escenario de doble liberación si el controlador recibe otro evento DIAG_EVENT_LOG_SUPPORTED del firmware, ya que el puntero no está configurado en NULL sobre la primera llamada en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en las versiones APQ8009, APQ8017, APQ8053, APQ8096AU, APQ8098, IPQ4019, IPQ8064, IPQ8074, MDM9206, MDM9207C, MDM9607, MDM9640, MDM9650, MSM8917, MSM8920, MSM8937, MSM8940, MSM8953, MSM8996AU, MSM8998, Nicobar, QCA6174A, QCA6574AU, QCA8081, QCA9377, QCA9379, QCN7605, QCS405, QCS605, SDA660, SDA845, SDM450, SDM630, SDM636, SDM660, SDM670, SDM710, SDM845, SDX20, SDX24, SDX55, SM6150, SM7150, SM8150, SM8250, SXR1130, SXR2130.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/12/2019

Vulnerabilidad en el escenario iWLAN durante la transición de estado de netmgr a CONNECT en diversos productos Snapdragon (CVE-2019-10518)
Fecha de publicación:
18/12/2019
Idioma:
Español
Un uso de la memoria previamente liberada de un puntero en el escenario iWLAN durante la transición de estado de netmgr a CONNECT en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking en las versiones APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, APQ8098, IPQ4019, IPQ8064, IPQ8074, MDM9150, MDM9206, MDM9207C, MDM9607, MDM9640, MDM9650, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8996AU, MSM8998, QCA6574AU, QCS405, QCS605, SDA660, SDA845, SDM429, SDM439, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDX20, SDX24, SDX55, SM6150, SM7150, SM8150, SM8250, SXR1130, SXR2130.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/12/2019

Vulnerabilidad en una transmisión multidifusión falsa 11w rmf sin mmie en cds_is_mmie_valid y qdf_nbuf_trim_tail en diversos productos Snapdragon (CVE-2018-11980)
Fecha de publicación:
18/12/2019
Idioma:
Español
Cuando se recibió una transmisión multidifusión falsa 11w rmf sin mmie, ya que no se comprobó la longitud apropiada en wma_process_bip, un desbordamiento del búfer se presentará en cds_is_mmie_valid y qdf_nbuf_trim_tail en los productos Snapdragon Auto, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music en las versiones APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, MDM9206, MDM9207C, MDM9607, MDM9640, MDM9650, MSM8937, MSM8996AU, MSM8998, QCA6174A, QCA6574AU, QCA9377, QCA9379, QCN7605, QCS605, SDM630, SDM636, SDM660, SDX20, SDX24, SDX55, SM6150, SM7150, SM8150, SXR1130.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2019

Vulnerabilidad en los parámetros de configuración utilizados en las consultas SQL en Joomla! (CVE-2019-19846)
Fecha de publicación:
18/12/2019
Idioma:
Español
En Joomla! versiones anteriores a la versión 3.9.14, la falta de comprobación de los parámetros de configuración utilizados en las consultas SQL causó varios vectores de inyección SQL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2019

Vulnerabilidad en el controlador del proceso de imágenes miniaturas en el servidor Zulip (CVE-2019-19775)
Fecha de publicación:
18/12/2019
Idioma:
Español
El controlador del proceso de imágenes miniaturas en el servidor Zulip versiones 1.9.0 anteriores a la versión 2.0.8, permitió un redireccionamiento abierto que era visible para usuarios registrados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2019

Vulnerabilidad en los archivos del framework en Joomla! (CVE-2019-19845)
Fecha de publicación:
18/12/2019
Idioma:
Español
En Joomla! versiones anteriores a la versión 3.9.14, una falta de comprobación de acceso en los archivos del framework podría conllevar a una divulgación de la ruta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2019

Vulnerabilidad en el método removeStatus de la clase WorkflowResource en Jira. (CVE-2019-15013)
Fecha de publicación:
18/12/2019
Idioma:
Español
El método removeStatus de la clase WorkflowResource en Jira versiones anteriores a la versión 7.13.12, desde la versión 8.0.0 anteriores a la versión 8.4.3 y desde la versión 8.5.0 anteriores a la versión 8.5.2, permite a atacantes remotos autenticados que no tienen acceso de administración del proyecto eliminar un estado del problema configurado desde el proyecto por medio de una falta de comprobación de autorización.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2022

Vulnerabilidad en el servicio de transferencia de archivos sobre el puerto TCP en Advantech DiagAnywhere Server (CVE-2019-18257)
Fecha de publicación:
17/12/2019
Idioma:
Español
En Advantech DiagAnywhere Server, versiones 3.07.11 y anteriores, existen múltiples vulnerabilidades de desbordamiento de búfer en la región stack de la memoria en el servicio de transferencia de archivos que escucha sobre el puerto TCP. Una explotación con éxito podría permitir a un atacante no autenticado ejecutar código arbitrario con los privilegios del usuario que ejecuta DiagAnywhere Server.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/10/2020

Vulnerabilidad en Micro Focus ArcSight Logger (CVE-2019-11657)
Fecha de publicación:
17/12/2019
Idioma:
Español
Vulnerabilidad de tipo Cross-Site Request Forgery en todo Micro Focus ArcSight Logger afectando a todas las versiones del producto por debajo de la versión 7.0. La vulnerabilidad podría ser explotada para lleva a cabo un ataque de tipo CSRF.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en SonicWall SMA100 (CVE-2019-7481)
Fecha de publicación:
17/12/2019
Idioma:
Español
Una vulnerabilidad en SonicWall SMA100, permite a usuarios no autenticados conseguir acceso de solo lectura a recursos no autorizados. Esta vulnerabilidad impacta a SMA100 versión 9.0.0.3 y anteriores.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/10/2025

Vulnerabilidad en peticiones HTTP POST en la función retrieve_url() en el servidor de ELOG. (CVE-2019-3994)
Fecha de publicación:
17/12/2019
Idioma:
Español
ELOG versión 3.1.4-57bea22 y anterior, está afectado por una vulnerabilidad de denegación de servicio debido a un uso de la memoria previamente liberada. Un atacante remoto no autenticado puede bloquear el servidor de ELOG mediante el envío de múltiples peticiones HTTP POST, lo que causa que la función de ELOG retrieve_url() use una variable liberada.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades