Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el kernel de Linux (CVE-2018-20784)
Fecha de publicación:
22/02/2019
Idioma:
Español
En el kernel de Linux, en versiones anteriores a la 4.20.2, kernel/sched/fair.c gestiona leaf cfs_rq de manera incorrecta, lo que permite que los atacantes provoquen una denegación de servicio (bucle infinito en update_blocked_averages) o, posiblemente, otro impacto sin especificar induciendo una carga alta.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/06/2021

Vulnerabilidad en Eclipse Wakaama (CVE-2019-9004)
Fecha de publicación:
22/02/2019
Idioma:
Español
En Eclipse Wakaama (anteriormente conocido como liblwm2m) 1.0, core/er-coap-13/er-coap-13.c en lwm2mserver en el servidor LWM2M gestiona de manera incorrecta las opciones inválidas, lo que conduce a una fuga de memoria. El procesamiento de un único paquete manipulado conduce al filtrado (gasto) de 24 bytes de memoria. Esto puede conducir a la terminación del servidor LWM2M tras agotar toda la memoria disponible.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en la aplicación de Bosch Smart Camera (CVE-2019-7728)
Fecha de publicación:
22/02/2019
Idioma:
Español
Se ha descubierto un error en versiones anteriores a la 1.3.1 de la aplicación Bosch Smart Camera para Android. Debido a las comprobaciones de certificados TLS implementadas de forma inadecuada, un actor malicioso podría tener éxito a la hora de ejecutar un ataque Man-in-the-Middle para algunas conexiones. (La aplicación Bosch Smart Home no se ha visto afectada, así como las aplicaciones de iOS).
Gravedad CVSS v3.1: ALTA
Última modificación:
22/02/2019

Vulnerabilidad en la aplicación de Bosch Smart Camera (CVE-2019-7729)
Fecha de publicación:
22/02/2019
Idioma:
Español
Se ha descubierto un error en versiones anteriores a la 1.3.1 de la aplicación Bosch Smart Camera para Android. Debido al establecimiento de permisos inseguros, una aplicación maliciosa podría tener éxito a la hora de recuperar clips de vídeo o instantáneas cacheadas para la compartición de clips. (La aplicación Bosch Smart Home no se ha visto afectada, así como las aplicaciones de iOS).
Gravedad CVSS v3.1: BAJA
Última modificación:
24/08/2020

Vulnerabilidad en Tiny Issue y pixeline Bugs (CVE-2019-9002)
Fecha de publicación:
22/02/2019
Idioma:
Español
Se ha descubierto un problema en Tiny Issue 1.3.1 y pixeline Bugs hasta la versión 1.3.2c. install/config-setup.php permite que los atacantes remotos ejecuten código PHP arbitrario mediante el parámetro database_host si el instalador sigue presente en su directorio original tras haber completado la instalación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en Tor (CVE-2019-8955)
Fecha de publicación:
21/02/2019
Idioma:
Español
En Tor, en versiones anteriores a la 0.3.3.12, en las 0.3.4.x anteriores a la 0.3.4.11, en las 0.3.5.x anteriores a la 0.3.5.8 y en las 0.4.x anteriores a la 0.4.0.2-alpha, puede ocurrir una denegación de servicio (DoS) remota contra los clientes Tor, además de reproducciones mediante el agotamiento de memoria en el programador "KIST cell".
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en software de Cisco (CVE-2019-1698)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la interfaz web del usuario del software Internet of Things Field Network Director (IoT-FND) de Cisco podría permitir que un atacante remoto autenticado obtenga acceso de lectura a información que se encuentre almacenada en un sistema afectado. La vulnerabilidad se debe a una gestión incorrecta de las entradas XEE (XML External Entity) cuando se analizan determinados archivos XML. Un atacante podría explotar esta vulnerabilidad importando un archivo XML manipulado con entradas maliciosas, lo que podría permitir al atacante leer archivos dentro de la aplicación afectada. Todas las versiones anteriores a la 4.4(0.26) se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en software de Cisco (CVE-2019-1700)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la gestión de un búfer de entrada FPGA (field-programmable gate array) para la serie Firepower 9000 de Cisco con el módulo de red de doble anchura "Firepower 2-port 100G" de Cisco (PID: FPR9K-DNM-2X100G) podría permitir a un atacante adyacente no autenticado provocar una condición de denegación de servicio (DoS). Se podría requerir intervención manual antes de que un dispositivo reanude su operativa normal. La vulnerabilidad se debe a un error de lógica en el FPGA relacionado con el procesamiento de diferentes tipos de paquetes de entradas. Un ataque podría explotar esta vulnerabilidad posicionándose en la subred adyacente y enviando una secuencia manipulada de paquetes de entradas a una determinada interfaz en el dispositivo afectado. Su explotación con éxito podría permitir que el atacante provoque una condición de cola de la interfaz se acuñe. Cuando se acuña una cola de la interfaz, el dispositivo afectado dejará de procesar cualquier paquete adicional que se reciba en la interfaz "acuñada". La versión 2.2 se ve afectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Signiant Manager+Agents (CVE-2019-8996)
Fecha de publicación:
21/02/2019
Idioma:
Español
En Signiant Manager+Agents, en versiones anteriores a la 13.5, la implementación del comando "set" tiene un desbordamiento de búfer.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/03/2023

Vulnerabilidad en Drupal (CVE-2019-6340)
Fecha de publicación:
21/02/2019
Idioma:
Español
Algunos tipos de campos no sanean correctamente los datos provenientes de fuentes "non-form" en Drupal en sus versiones 8.5.x anteriores a la 8.5.11 y en las versiones 8.6.x anteriores a la 8.6.10. Esto puede provocar, en algunos casos, la ejecución de código PHP. Un sitio solo se ve afectado por esto si se cumple una de las siguientes condiciones. Este sitio tiene el módulo Drupal 8 core RESTful Web Services (rest) habilitado y permite peticiones PATCH o POST, o el sitio tiene otro módulo de servicios web habilitado, como JSON:API en Drupal 8 o Services o RESTful Web Services en Drupal 7. (Nota: El módulo de Drupal 7 Services mismo no precisa una actualización en este momento. Sin embargo, se deberían instalar otras actualizaciones contribuidas que estén asociadas con este aviso si "Service" se encuentra en uso.)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2025

Vulnerabilidad en software de Cisco (CVE-2019-1681)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en el servicio TFTP del software Convergence System 1000 Series de Cisco podría permitir a un atacante remoto no autenticado recuperar archivos arbitrarios del dispositivo objetivo, posiblemente resultando en una divulgación de información. Dicha vulnerabilidad se debe a la validación incorrecta de entrada de datos de parte del usuario por parte del software afectado. Un atacante podría explotar esta vulnerabilidad utilizando técnicas de salto de directorio en peticiones maliciosas enviadas al servicio TFTP en un dispositivo objetivo. Un exploit podría permitir al atacante recuperar archivos arbitrarios del dispositivo objetivo, conduciendo a la divulgación de información sensible. Esta vulnerabilidad afecta a las distribuciones de software de Cisco IOS XR anteriores a la 6.5.2 para dispositivos de Cisco Network Convergence System 1000 Series cuando el servicio TFTP está habilitado.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2023

Vulnerabilidad en Cisco Unity Connection (CVE-2019-1685)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la interfaz SSO (Single Sign-On) SAML (Security Assertion Markup Language) de Cisco Unity Connection podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en el sistema afectado. Esta vulnerabilidad se debe a la validación insuficiente de entrada de datos de parte del usuario en la interfaz web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información sensible basada en el navegador. La versión 12.5 se ve afectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2023
Suscribirse a Vulnerabilidades