Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los elementos o atributos potencialmente no deseados en el plugin safe-svg para WordPress (CVE-2019-18855)
Fecha de publicación:
11/11/2019
Idioma:
Español
Se presenta una vulnerabilidad de Denegación de Servicio en el plugin safe-svg (también se conoce como Safe SVG) versiones hasta 1.9.4 para WordPress, relacionado con elementos o atributos potencialmente no deseados.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/10/2023

Vulnerabilidad en el módulo SVG Sanitizer para Drupal (CVE-2019-18856)
Fecha de publicación:
11/11/2019
Idioma:
Español
Se presenta una vulnerabilidad de Denegación de Servicio en el módulo SVG Sanitizer versiones hasta 8.x-1.0-alpha1 para Drupal, porque el acceso a recursos externos con un elemento de uso de SVG es manejado inapropiadamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en un script y valores de datos en los atributos en darylldoyle svg-sanitizer (CVE-2019-18857)
Fecha de publicación:
11/11/2019
Idioma:
Español
darylldoyle svg-sanitizer versiones anteriores 0.12.0, maneja inapropiadamente un script y valores de datos en los atributos, como es demostrado por un espacio en blanco inesperado tal y como en la subcadena javascript :alert.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en etc/config/image_sign o /etc/alpha_config/image_sign en una cuenta de usuario de Alphanetworks en determinados dispositivos D-Link (CVE-2019-18852)
Fecha de publicación:
11/11/2019
Idioma:
Español
Determinados dispositivos D-Link, poseen una cuenta de usuario de Alphanetworks embebida con acceso de TELNET debido a etc/config/image_sign o /etc/alpha_config/image_sign. Esto afecta a DIR-600 B1 versión V2.01 para WW, DIR-890L A1 versión v1.03, DIR-615 J1 versión v100 (para DCN), DIR-645 A1 versión v1.03, DIR-815 A1 versión v1.01, DIR-823 A1 versión v1.01 y DIR-842 C1 versión v3.00.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en el archivo .ssh/Authorizedkeys en tnef (CVE-2019-18849)
Fecha de publicación:
11/11/2019
Idioma:
Español
En tnef versiones anteriores a 1.4.18, un atacante puede escribir en el archivo .ssh/Authorizedkeys de la víctima por medio de un mensaje de correo electrónico con un archivo adjunto application/ms-tnef de winmail.dat, debido a una lectura excesiva del búfer en la región heap de la memoria que involucra a strdup.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en una conexión TCP en la función continue_on_listener_filters_timeout en Envoy (CVE-2019-18836)
Fecha de publicación:
11/11/2019
Idioma:
Español
Envoy versión 1.12.0 permite una denegación de servicio remota debido a bucles de recursos, como es demostrado por una conexión TCP inactiva que es capaz de mantener un subproceso o hilo de trabajo en un bucle ocupado infinito cuando la función continue_on_listener_filters_timeout es usada.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Chartkick.js, usado en la gema Chartkick para Ruby (CVE-2019-18841)
Fecha de publicación:
11/11/2019
Idioma:
Español
Chartkick.js versiones 3.1.0 hasta 3.1.3, como es usado en la gema Chartkick versiones anteriores a 3.3.0 para Ruby, permite la contaminación del prototipo.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en las funciones ZwOpenSection y ZwMapViewOfSection en los controladores MsIo64.sys y MsIo32.sys en Patriot Viper RGB (CVE-2019-18845)
Fecha de publicación:
09/11/2019
Idioma:
Español
Los controladores MsIo64.sys y MsIo32.sys en Patriot Viper RGB versiones anteriores a 1.1, permiten a usuarios locales (incluyendo procesos de baja integridad) leer y escribir en ubicaciones de memoria arbitrarias y, en consecuencia, alcanzar privilegios NT AUTHORITY\SYSTEM, mediante la asignación de \Device\PhysicalMemory en el proceso de llamada por medio de las funciones ZwOpenSection y ZwMapViewOfSection.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2020

Vulnerabilidad en la estructura de DecodedCert en GetName en el archivo wolfcrypt/src/asn.c en el análisis de los datos del certificado ASN.1 en wolfSSL (CVE-2019-18840)
Fecha de publicación:
09/11/2019
Idioma:
Español
En wolfSSL versiones 4.1.0 hasta 4.2.0c, faltan comprobaciones de saneamiento de los accesos a la memoria en el análisis de los datos del certificado ASN.1 durante el protocolo de enlace. Específicamente, se presenta un desbordamiento de búfer en la región heap de la memoria por un byte dentro de la estructura de DecodedCert en GetName en el archivo wolfcrypt/src/asn.c porque el índice de ubicación del nombre de dominio es manejado inapropiadamente. Debido a que un puntero es sobrescrito, se presenta una liberación no válida.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2019

Vulnerabilidad en el mecanismo Digest-MD5 en qpid-cpp (CVE-2009-5004)
Fecha de publicación:
09/11/2019
Idioma:
Español
qpid-cpp versión 1.0, se bloquea cuando un mensaje largo se envía y está en uso el mecanismo Digest-MD5 con una capa de seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en el sistema local en liboping (CVE-2009-3614)
Fecha de publicación:
09/11/2019
Idioma:
Español
liboping versión 1.3.2, permite a usuarios leer archivos arbitrarios en el sistema local.
Gravedad CVSS v3.1: BAJA
Última modificación:
21/11/2024

Vulnerabilidad en una consola VPS en dtc-xen (CVE-2009-4011)
Fecha de publicación:
09/11/2019
Idioma:
Español
dtc-xen versiones 0.5.x anteriores a 0.5.4, sufre de una condición de carrera donde un atacante podría obtener potencialmente un acceso bash como un usuario de xenXX en dom0, y luego acceder a una consola VPS ya abierta potencialmente reutilizable.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2024
Suscribirse a Vulnerabilidades