Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Juniper Networks Junos OS (CVE-2019-0038)
Fecha de publicación:
10/04/2019
Idioma:
Español
Los paquetes creados destinados a la interfaz de gestión (fxp0) de una pasarela de servicios SRX340 o SRX345 pueden crear una condición de denegación de servicio (DoS) debido al agotamiento del espacio de búfer. Este problema sólo afecta a las pasarelas de servicios SRX340 y SRX345. Ningún otro producto o plataforma se ve afectado por esta vulnerabilidad. Las versiones afectadas son el Juniper Networks Junos OS: Versiones 15.1X49 anteriores a 15.1X49-D160 en SRX340/SRX345; 17.3 en SRX340/SRX345; 17.4 versiones anteriores a 17.4R2-S3, 17.4R3 en SRX340/SRX345; 18.1 versiones anteriores a 18.1R3-S1 en SRX340/SRX345; 18.2 versiones anteriores a 18.2R2 en SRX340/SRX345; 18.3 versiones anteriores a 18.3R1-S2, 18.3R2 en SRX340/SRX345. Este problema no afecta a las versiones del Junos OS anteriores a 15.1X49 en ninguna plataforma.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2021

Vulnerabilidad en Juniper Networks Junos OS (CVE-2019-0039)
Fecha de publicación:
10/04/2019
Idioma:
Español
Si la API REST está activada, las credenciales de inicio de sesión en Junos OS son vulnerables a los ataques por fuerza bruta. El alto límite de conexiones por defecto en la API REST, puede permitir que un atacante aplique fuerza bruta a las contraseñas mediante técnicas avanzadas de secuencias de comandos. Además, los administradores que utilizan una política de contraseñas seguras, tienen mayores probabilidades de que los ataques por fuerza bruta tenga éxito. Las versiones afectadas son Juniper Networks Junos OS: Versiones 14.1X53 anteriores a 14.1X53-D49; versiones 15.1 anteriores a 15.1F6-S12, 15.1R7-S3; versiones 15.1X49 anteriores a 15.1X49-D160; versiones 15.1X53 anteriores a 15.1X53-D236, 15.1X53-D495, 15.1X53-D591, 15.1X53-D69; 16.1 versiones anteriores a 16.1R3-S10, 16.1R4-S12, 16.1R6-S6, 16.1R7-S3; 16.1X65 versiones anteriores a 16.1X65-D49; 16.2 versiones anteriores a 16.2R2-S7; 17.1 versiones anteriores a 17.1R2-S10, 17.1R3; 17.2 versiones anteriores a 17.2R1-S8, 17.2R3-S1; 17.3 versiones anteriores a 17.3R3-S2; 17.4 versiones anteriores a 17.4R1-S6, 17.4R2-S2; versiones 18.1 anteriores a 18.1R2-S4, 18.1R3-S1; versiones 18.2 anteriores a 18.2R1-S5; versiones 18.2X75 anteriores a 18.2X75-D30 y versiones 18.3 anteriores a 18.3R1-S1.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2024

Vulnerabilidad en Juniper Identity Management Service (CVE-2019-0042)
Fecha de publicación:
10/04/2019
Idioma:
Español
El Juniper Identity Management Service (JIMS) para versiones de Windows anteriores a 1.1.4 puede enviar un mensaje de manera inapropiada a las puertas de enlace de servicios SRX asociadas. Esto puede permitir que un atacante con acceso físico a un dominio existente conectado al sistema Windows omita las políticas de firewall SRX, o desencadene una condición de Denegación de Servicio (DoS) para la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2021

Vulnerabilidad en Junos OS Packet Forwarding Engine manager (FXPC) (CVE-2019-0008)
Fecha de publicación:
10/04/2019
Idioma:
Español
Una cierta secuencia de paquetes BGP o IPv6 BFD válidos puede desencadenar un desbordamiento de búfer basado en pila en Junos OS Packet Forwarding Engine manager (FXPC), en dispositivos de las series QFX5000, EX4300, EX4600. Este problema puede resultar en un fallo del demonio fxpc o puede llevar a la ejecución remota del código. Las versiones afectadas son Juniper Networks y Junos OS en QFX serie 5000, EX4300, EX4600: 14.1X53; 15.1X53 versiones anteriores a 15.1X53-D235; 17.1 versiones anteriores a 17.1R3; 17.2 versiones anteriores a 17.2R3; 17.3 versiones anteriores a 17.3R3-S2, 17.3R4; 17.4 versiones anteriores a 17.4R2-S1, 17.4R3; 18.1 versiones anteriores a 18.1R3-S1, 18.1R4; 18.2 versiones anteriores a 18.2R2; 18.2X75 versiones anteriores a 18.2X75-D30; 18.3 versiones anteriores a 18.3R2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2021

Vulnerabilidad en cortafuegos de Junos OS (CVE-2019-0036)
Fecha de publicación:
10/04/2019
Idioma:
Español
Cuando se configura un filtro de cortafuegos sin estado en Junos OS, los términos nombrados con el formato "internal-n" (por ejemplo, "internal-1", "internal-2", etc.) se ignoran en silencio. No se emite ninguna advertencia durante la configuración, y la configuración se realiza sin errores, pero los criterios de filtrado coincidirán con todos los paquetes, lo que dará lugar a resultados inesperados. Las versiones afectadas de Juniper Networks Junos OS son: todas las versiones anteriores e incluyendo 12.3; 14.1X53 versiones anteriores a 14.1X53-D130, 14.1X53-D49; 15.1 versiones anteriores a 15.1F6-S12, 15.1R7-S4; 15.1X49 versiones anteriores a 15.1X49-D161, 15.1X49-D170; 15.1X53 versiones anteriores a 15.1X53-D236, 15.1X53-D496, 15.1X53-D69; 16.1 versiones anteriores a 16.1R7-S4, 16.1R7-S5; 16.2 versiones anteriores a 16.2R2-S9; 17.1 versiones anteriores a 17.1R3; 17.2 versiones anteriores a 17.2R1-S8, 17.2R3-S1; 17.3 versiones anteriores a 17.3R3-S4; 17.4 versiones anteriores a 17.4R1-S7, 17.4R2-S3; 18.1 versiones anteriores a 18.1R2-S4, 18.1R3-S4; 18.2 versiones anteriores a 18.2R1-S5, 18.2R2-S1; 18.2X75 versiones anteriores a 18.2X75-D40; 18.3 versiones anteriores a 18.3R1-S3; 18.4 versiones anteriores a 18.4R1-S1, 18.4R1-S2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/02/2021

Vulnerabilidad en Junos OS (CVE-2019-0031)
Fecha de publicación:
10/04/2019
Idioma:
Español
Los paquetes DHCP IPv6 específicos recibidos por el demonio jdhcpd causarán un problema de consumo de recursos de memoria en un dispositivo Junos OS que utiliza el demonio jdhcpd configurado para responder a las peticiones de IPv6. Una vez iniciado, el consumo de memoria afectará eventualmente a cualquier petición de IPv4 o IPv6 a la que da servicio el demonio jdhcpd, creando así una condición de Denegación de Servicio (DoS) para los clientes que solicitan y no reciben direcciones IP. Además, algunos clientes que anteriormente tenían direcciones IPv6 no tendrán su dirección de Asociación de Identidad (IA) IPv6 y tablas de red acordadas por el demonio jdhcpd después de que ocurra el evento de conmutación por error, lo que conlleva a más de una interfaz y múltiples direcciones IP, siendo negado en el cliente. Las versiones afectadas son Junos Networks Junos OS: 17.4 versiones anteriores a 17.4R2; 18.1 versiones anteriores a 18.1R2.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/09/2020

Vulnerabilidad en Joomla! (CVE-2019-10945)
Fecha de publicación:
10/04/2019
Idioma:
Español
Un problema fue descubierto en Joomla! versiones anteriores a 3.9.5. El componente de Administrador de medios no valida correctamente el parámetro de carpeta, lo que permite a los atacantes actuar fuera del directorio root del administrador de medios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/04/2019

Vulnerabilidad en Joomla! (CVE-2019-10946)
Fecha de publicación:
10/04/2019
Idioma:
Español
Se descubrió un problema en Joomla! versión anterior al 3.9.5. El endpoint "refresh list of helpsites" del componente com_users carece de controles de acceso, lo que permite realizar llamadas de usuarios no autorizados.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

CVE-2019-0208
Fecha de publicación:
10/04/2019
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2019. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Magento (CVE-2019-7139)
Fecha de publicación:
10/04/2019
Idioma:
Español
Un usuario no autenticado puede ejecutar sentencias SQL que permiten el acceso de lectura arbitraria a la base de datos subyacente, lo que provoca una fuga de datos confidenciales. Este problema se solucionó en Magento 2.1 versiones anteriores a 2.1.18, Magento 2.2 versiones anteriores a 2.2.9, Magento 2.3 versiones anteriores a 2.3.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/08/2019

Vulnerabilidad en Ubiquiti Networks EdgeSwitch (CVE-2019-5425)
Fecha de publicación:
10/04/2019
Idioma:
Español
En Ubiquiti Networks EdgeSwitch X versión v1.1.0 y anteriores, un usuario identificado puede ejecutar comandos shell arbitrarios por medio de la interfaz SSH sin pasar por la interfaz CLI, lo que les permite escalar privilegios a root.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en Ubiquiti Networks EdgeSwitch X (CVE-2019-5424)
Fecha de publicación:
10/04/2019
Idioma:
Español
En Ubiquiti Networks EdgeSwitch X versión v1.1.0 y anteriores, un usuario privilegiado puede ejecutar comandos shell arbitrarios por medio de la interfaz de la CLI de SSH. Esto permite ejecutar comandos shell bajo el usuario root.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020
Suscribirse a Vulnerabilidades