Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ovidentia (CVE-2018-1000619)
Fecha de publicación:
09/07/2018
Idioma:
Español
Ovidentia en versiones 8.4.3 y anteriores contiene una vulnerabilidad de entradas de usuario no saneadas en utilit.php y bab_getAddonFilePathfromTg que puede resultar en la ejecución remota de código autenticado. Para explotar este ataque, el atacante debe tener permisos de subida de addons.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2018

Vulnerabilidad en ONOS ONOS Controlle (CVE-2018-1000616)
Fecha de publicación:
09/07/2018
Idioma:
Español
ONOS ONOS Controller en versiones 1.13.1 y anteriores contiene una vulnerabilidad XXE (XML External Entity) en onos\drivers\utilities\src\main\java\org\onosproject\drivers\utilities\XmlConfigParser.java en la función loadxml() que puede resultar en en que un atacante puede ejecutar ataques XXE remotamente en el controlador ONOS mediante un dispositivo terminal OpenConfig. Este ataque parece ser explotable mediante conectividad de red.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/09/2018

Vulnerabilidad en ONOS ONOS Controller (CVE-2018-1000614)
Fecha de publicación:
09/07/2018
Idioma:
Español
ONOS ONOS Controller en versiones 1.13.1 y anteriores contiene una vulnerabilidad XXE (XML External Entity) en providers/netconf/alarm/src/main/java/org/onosproject/provider/netconf/alarm/NetconfAlarmTranslator.java que puede resultar en que un atacante pueda ejecutar de manera remota ataques XXE avanzados en el controlador de ONOS sin autenticación. Parece ser que este ataque puede ser explotado mediante un mensaje de protocolo manipulado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/09/2018

Vulnerabilidad en SURFnet OpenConext EngineBlock (CVE-2018-1000611)
Fecha de publicación:
09/07/2018
Idioma:
Español
SURFnet OpenConext EngineBlock desde la versión 5.7.0 hasta la 5.7.3 contiene una vulnerabilidad Cross-Site Scripting (XSS) que puede resultar en que permita a un atacante inyectar scripts web o HTML arbitrarios en las páginas help y login. Este ataque parece ser explotable si una víctima abre una URL especialmente manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2018

Vulnerabilidad en Legion of the Bouncy Castle Java Cryptography (CVE-2018-1000613)
Fecha de publicación:
09/07/2018
Idioma:
Español
Las API Legion of the Bouncy Castle Java Cryptography de Legion of the Bouncy Castle en versiones hasta 1.58 pero sin incluir la versión 1.60, contiene una debilidad CWE-470: Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection'), vulnerabilidad en la deserialización de la clave privada XMSS/XMSS^MT que puede resultar en desrealizar una clave privada XMSS/XMSS^MT puede resultar en la ejecución de código inesperado. Este ataque parece ser explotable por medio de una clave privada artesanal que puede incluir referencias a clases inesperadas que se recogerán del class path para la aplicación en ejecución. Esta vulnerabilidad parece haber sido solucionada en la versión 1.60 y versiones posteriores.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/05/2025

Vulnerabilidad en Mycroft AI mycroft-core (CVE-2018-1000621)
Fecha de publicación:
09/07/2018
Idioma:
Español
Mycroft AI mycroft-core en versiones 18.2.8b y anteriores contiene una vulnerabilidad de control de acceso incorrecto en la configuración de Websocket que puede resultar en la ejecución de código. Esto SOLO afecta a las instalaciones de Mycroft para Linux y las "non-enclosure"; Mark 1 y Picroft no se han visto afectadas. El ataque parece ser explotable mediante acceso remoto al servidor websocket inseguro. Actualmente, no existe solución a este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Rust Programming Language rustdoc (CVE-2018-1000622)
Fecha de publicación:
09/07/2018
Idioma:
Español
Rust Programming Language rustdoc desde la versión 0.8 hasta la 1.27.0 contiene una vulnerabilidad CWE-427: elemento de búsqueda de ruta no controlada en los plugins rustdoc que puede resultar en la ejecución local de código como un usuario diferente. Este ataque parece ser explotable mediante el uso del flag --plugin sin el flag --plugin-path. La vulnerabilidad parece haber sido solucionada en la versión 1.27.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Siemens PLM Software TEAMCENTER (CVE-2018-11450)
Fecha de publicación:
09/07/2018
Idioma:
Español
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en Siemens PLM Software TEAMCENTER (V9.1.2.5). Si un usuario visita el portal de inicio de sesión mediante la URL manipulada por el atacante, el atacante puede insertar HTML/JavaScript y alterar o rescribir la página del portal de inicio de sesión. Siemens PLM Software TEAMCENTER V9.1.3 y posteriores no se ha visto afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en concrete5 (CVE-2018-13790)
Fecha de publicación:
09/07/2018
Idioma:
Español
Una vulnerabilidad de Server-Side Request Forgery (SSRF) en tools/files/importers/remote.php en concrete5 8.2.0 puede dar lugar a ataques en la red local, así como al mapeo de redes internas debido a la funcionalidad URL en la página File Manager.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2021

Vulnerabilidad en EOSIO/eos eos (CVE-2018-1000618)
Fecha de publicación:
09/07/2018
Idioma:
Español
EOSIO/eos eos en versiones tras el commit con ID f1545dd0ae2b77580c2236fdb70ae7138d2c7168 contiene una vulnerabilidad de desbordamiento de pila en abi_serializer que puede resultar en un ataque al nodo de red de eos. Este ataque parece ser explotable mediante una petición de red. La vulnerabilidad parece haber sido solucionada tras el commit con ID cf7209e703e6d3f7a5413e0cb1fe88a4d8e4b38d.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en cryptiles (CVE-2018-1000620)
Fecha de publicación:
09/07/2018
Idioma:
Español
cryptiles, de Eran Hammer, en versiones 4.1.1 y anteriores contiene una vulnerabilidad CWE-331: entropía insuficiente en el método randomDigits() que puede resultar en que un atacante pueda forzar algo que debería ser aleatorio. Este ataque parece ser explotable mediante la aplicación que llama. La vulnerabilidad parece haber sido solucionada en la versión 4.1.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/03/2023

Vulnerabilidad en ONOS ONOS Controller (CVE-2018-1000615)
Fecha de publicación:
09/07/2018
Idioma:
Español
ONOS ONOS Controller en versiones 1.13.1 y anteriores contiene una vulnerabilidad de denegación de servicio (cierre inesperado del servicio) en el componente OVSDB en ONOS que puede resultar en que un atacante pueda bloquear remotamente el controlador ONOS del servicio OVSDB mediante un switch normal. Este ataque parece ser explotable si el atacante controla o falsea un switch en la red.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020
Suscribirse a Vulnerabilidades