Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zabbix (CVE-2013-5743)
Fecha de publicación:
11/12/2019
Idioma:
Español
Múltiples vulnerabilidades de inyección SQL en Zabbix versiones 1.8.x anteriores a 1.8.18rc1, versiones 2.0.x anteriores a 2.0.9rc1 y versiones 2.1.x anteriores a 2.1.7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/12/2019

Vulnerabilidad en el archivo products.php en el plugin Cart66 Lite para WordPress (CVE-2013-5978)
Fecha de publicación:
11/12/2019
Idioma:
Español
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el archivo products.php en el plugin Cart66 Lite versiones anteriores a 1.5.1.15 para WordPress, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de (1) nombre del producto o (2) campos de descripción de precio por medio de un petición a al archivo wp-admin/admin.php. NOTA: Este problema solo puede cruzar los límites de privilegios si se utiliza en combinación con CVE-2013-5977.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2019

Vulnerabilidad en el archivo includes/libs/IEUrlExtension.php en el parámetro siprop en la API MediaWiki en MediaWiki (CVE-2013-4303)
Fecha de publicación:
11/12/2019
Idioma:
Español
El archivo includes/libs/IEUrlExtension.php en la API MediaWiki en MediaWiki versiones 1.19.x anteriores a 1.19.8, versiones 1.20.x anteriores a 1.20.7 y versiones 1.21.x anteriores a 1.21.2 no detecta apropiadamente las extensiones cuando existe un número par de caracteres "." (punto) en una cadena, lo que permite a atacantes remotos realizar ataques de tipo cross-site scripting (XSS) por medio del parámetro siprop en una acción query en el archivo wiki/api.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2019

Vulnerabilidad en una URL larga en AirLive POE-2600HD (CVE-2013-3691)
Fecha de publicación:
11/12/2019
Idioma:
Español
AirLive POE-2600HD, permite a atacantes remotos causar una denegación de servicio (restablecimiento del dispositivo) por medio de una URL larga.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/12/2019

Vulnerabilidad en una sesión TELNET en las cámaras Grandstream (CVE-2013-3542)
Fecha de publicación:
11/12/2019
Idioma:
Español
Grandstream GXV3501, GXV3504, GXV3601, GXV3601HD/LL, GXV3611HD/LL, GXV3615W/P, GXV3651FHD, GXV3662HD, GXV3615WP_HD, GXV3500, y posiblemente otros modelos de cámara con versión de firmware 1.0.4.11, poseen una cuenta embebida "!#/" con la misma contraseña, lo que facilita a atacantes remotos obtener acceso por medio de una sesión TELNET.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/12/2019

Vulnerabilidad en el archivo sa_common.c en la función check_file_actlst en sysstat (CVE-2019-19725)
Fecha de publicación:
11/12/2019
Idioma:
Español
sysstat versiones hasta 12.2.0, presenta una doble liberación en la función check_file_actlst en el archivo sa_common.c.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/12/2022

Vulnerabilidad en el Sistema Operativo invitado en PV en x86 en Xen (CVE-2019-19580)
Fecha de publicación:
11/12/2019
Idioma:
Español
Se detectó un problema en Xen versiones hasta 4.12.x permitiendo a usuarios del Sistema Operativo invitado x86 PV conseguir privilegios de Sistema Operativo host al aprovechar las condiciones de carrera en las operaciones de promoción y degradación de tablas de páginas, debido a una solución incompleta para CVE-2019-18421. XSA-299 abordó varios problemas críticos en las operaciones de cambio de tipo PV reiniciables. A pesar de las extensas pruebas y auditorías, se perdieron algunos casos de esquina. Un administrador invitado malicioso de PV puede escalar sus privilegios a los del host. Todas las versiones de seguridad de Xen son vulnerables. Solo los sistemas en x86 están afectados. Los sistemas ARM no están afectados. Solo los invitados de PV en x86 pueden aprovechar la vulnerabilidad. Los invitados x86 HVM y PVH no pueden aprovechar la vulnerabilidad. Tenga en cuenta que estos ataques requieren un tiempo muy preciso, que puede ser difícil de explotar en la práctica.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el Sistema Operativo invitado en Arm de 32 bits en Xen (CVE-2019-19581)
Fecha de publicación:
11/12/2019
Idioma:
Español
Se detectó un problema en Xen versiones hasta 4.12.x, que permite a usuarios del Sistema Operativo invitado Arm de 32 bits causar una denegación de servicio (acceso fuera de límites) porque maneja inapropiadamente cierta iteración de bits. En varios lugares, el hipervisor está utilizando mapas de bits para rastrear cierto estado. La iteración sobre todos los bits implica funciones que pueden comportarse inapropiadamente en determinados casos de esquina: en el acceso Arm de 32 bits a mapas de bits con un recuento de bits que es un múltiplo de 32, puede ocurrir un acceso fuera de límites. Un invitado malicioso puede provocar un bloqueo o bloqueo del hipervisor, resultando en una Denegación de Servicio (DoS). Todas las versiones de Xen son vulnerables. Los sistemas Arm de 32 bits son vulnerables. Los sistemas Arm de 64 bits no son vulnerables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el Sistema Operativo x86 en Xen (CVE-2019-19582)
Fecha de publicación:
11/12/2019
Idioma:
Español
Se detectó un problema en Xen versiones hasta 4.12.x, permitiendo a usuarios invitados del sistema operativo x86 causar una denegación de servicio (bucle infinito) porque es manejada inapropiadamente cierta iteración de bits. En varios lugares, el hipervisor está usando mapas de bits para rastrear cierto estado. La iteración sobre todos los bits implica funciones que pueden comportarse inapropiadamente en ciertos casos de esquina: en x86, los accesos a mapas de bits con un tiempo de compilación de un tamaño conocido de 64 pueden provocar un comportamiento indefinido, lo que en particular puede dar como resultado bucles infinitos. Un invitado malicioso puede provocar un bloqueo o bloqueo del hipervisor, resulta en una Denegación de servicio (DoS). Todas las versiones de Xen son vulnerables. Los sistemas en x86 con 64 o más nodos son vulnerables (es posible que Xen no ejecute ninguno de esos sistemas). Los sistemas en x86 con menos de 64 nodos no son vulnerables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el Sistema Operativo invitado HVM/PVH en x86 en Xen (CVE-2019-19583)
Fecha de publicación:
11/12/2019
Idioma:
Español
Se detectó un problema en Xen versiones hasta 4.12.x permitiendo a usuarios del Sistema Operativo invitado HVM/PVH en x86, causar una denegación de servicio (bloqueo del Sistema Operativo invitado) porque las comprobaciones de VMX VMEntry manejan inapropiadamente un determinado caso. Consulte XSA-260 para antecedentes sobre el MovSS shadow. Consulte XSA-156 para obtener información sobre la necesidad de interceptar #DB. A las comprobaciones de VMX VMEntry no les gusta la combinación exacta de estado que ocurre cuando #DB es interceptado, Single Stepping está activo y bloqueado por STI/MovSS está activo, a pesar de que este es un estado legítimo. El fallo de VMEntry resultante es fatal para el invitado El código de espacio de usuario invitado de HVM/PVH puede bloquear al invitado, resultando en una Denegación de Servicio del invitado. Todas las versiones de Xen están afectadas. Solo están afectados los sistemas que admiten extensiones virtuales de hardware VMX (CPU Intel, Cyrix o Zhaoxin). Los sistemas de brazo y AMD no están afectados. Solo los invitados HVM/PVH están afectados. Los invitados de PV no pueden aprovechar la vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo SyncEventServlet.java en la función doGet en el parámetro eventid en Zoho ManageEngine Applications Manager (CVE-2019-19649)
Fecha de publicación:
11/12/2019
Idioma:
Español
Zoho ManageEngine Applications Manager versiones anteriores a 13620, permite una inyección SQL no autenticada remota por medio del parámetro eventid de SyncEventServlet en la función doGet del archivo SyncEventServlet.java.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/02/2023

Vulnerabilidad en la función del proceso Agent.java en el parámetro Agentid del agente servlet en Zoho ManageEngine Applications Manager (CVE-2019-19650)
Fecha de publicación:
11/12/2019
Idioma:
Español
Zoho ManageEngine Applications Manager versiones anteriores a 13640, permite una inyección SQL autenticada remota por medio del parámetro Agentid del agente servlet en la función del proceso Agent.java.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2023
Suscribirse a Vulnerabilidades