Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en productos Schneider Electric (CVE-2015-6462)
Fecha de publicación:
21/03/2019
Idioma:
Español
Cross-Site Scripting (XSS) reflejado (no persistente) permite que un atacante manipule una URL específica, que contiene JavaScript que se ejecutará en el navegador del cliente PLC de Modicon BMXNOC0401, BMXNOE0100, BMXNOE0110, BMXNOE0110H, BMXNOR0200H, BMXP342020, BMXP342020H, BMXP342030, BMXP3420302, BMXP3420302H o BMXP342030H.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2024

Vulnerabilidad en NetApp Service Processor (CVE-2019-5490)
Fecha de publicación:
21/03/2019
Idioma:
Español
Ciertas versiones entre la 2.x y la 5.x (véase el advisory) del firmware de NetApp Service Processor se distribuían con una cuenta por defecto habilitada que podría permitir la ejecución no autorizada de comandos arbitrarios. Cualquier plataforma listada en la sección "impact" del advisory podría haberse visto afectada y debe actualizarse a una versión solucionada del firmware de Service Processor INMEDIATAMENTE.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en BlackBerry AtHoc (CVE-2019-8997)
Fecha de publicación:
21/03/2019
Idioma:
Español
Una vulnerabilidad XEE (XML External Entity) en el sistema de gestión (consola) de BlackBerry AtHoc, en versiones anteriores a la 7.6 HF-567, podría permitir que un atacante lea archivos locales arbitrarios desde el servidor de aplicaciones o realice peticiones en la red introduciendo XML maliciosamente manipulado en un campo existente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2019

Vulnerabilidad en graphviz (CVE-2019-9904)
Fecha de publicación:
21/03/2019
Idioma:
Español
Se ha descubierto un problema en lib\cdt\dttree.c en libcdt.a en graphviz 2.40.1. Ocurre un consumo de pila debido a llamadas recursivas agclose en lib\cgraph\graph.c en libcgraph.a, relacionado con agfstsubg en lib\cgraph\subg.c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2023

Vulnerabilidad en PDFDoc::markObject en Poppler (CVE-2019-9903)
Fecha de publicación:
21/03/2019
Idioma:
Español
PDFDoc::markObject en PDFDoc.cc en Poppler 0.74.0 gestiona de manera incorrecta el marcado de diccionarios, que conduce al consumo de pila en la función Dict::find() en Dict.cc, que puede (por ejemplo) desencadenarse pasando un archivo pdf manipulado al binario pdfunite.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2019-0198
Fecha de publicación:
21/03/2019
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2019. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Sonatype Nexus Repository Manager (CVE-2019-7238)
Fecha de publicación:
21/03/2019
Idioma:
Español
Sonatype Nexus Repository Manager, en versiones anteriores a la 3.15.0, tiene un control de acceso incorrecto.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/11/2025

Vulnerabilidad en Insteon Hub (CVE-2017-16253)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe una vulnerabilidad explotable de desbordamiento de búfer en el manejador de mensajes PubNub de Insteon Hub 2245-222, en la versión de firmware 1012, para el canal cc de Insteon Hub que ejecuta la versión 1012 de firmware. Los comandos especialmente manipulados enviados a través del servicio PubNub pueden provocar un desbordamiento de búfer basado en pila que sobrescribe datos arbitrarios. Un atacante puede enviar una petición HTTP autenticada en 0x9d014dd8, donde se copia el valor para la clave ID mediante strcpy al búfer en $sp+0x290. Este búfer tiene una longitud de 32 bytes; el envío de algo mayor provocará un desbordamiento de búfer.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2022

Vulnerabilidad en Insteon Hub (CVE-2017-16254)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe una vulnerabilidad explotable de desbordamiento de búfer en el manejador de mensajes PubNub de Insteon Hub 2245-222, en la versión de firmware 1012. Los comandos especialmente manipulados enviados a través del servicio PubNub pueden provocar un desbordamiento de búfer basado en pila que sobrescribe datos arbitrarios. Un atacante puede enviar una petición HTTP autenticada en 0x9d014e4c, donde se copia el valor para la clave flg mediante strcpy al búfer en $sp+0x270. Este búfer tiene una longitud de 16 bytes; el envío de algo mayor provocará un desbordamiento de búfer.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2022

Vulnerabilidad en Insteon Hub (CVE-2017-16255)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe una vulnerabilidad explotable de desbordamiento de búfer en el manejador de mensajes PubNub de Insteon Hub 2245-222, en la versión de firmware 1012. Los comandos especialmente manipulados enviados a través del servicio PubNub pueden provocar un desbordamiento de búfer basado en pila que sobrescribe datos arbitrarios. Un atacante puede enviar una petición HTTP autenticada en 0x9d014e84, donde se copia el valor para la clave cmd1 mediante strcpy al búfer en $sp+0x280. Este búfer tiene una longitud de 16 bytes.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2022

Vulnerabilidad en Das U-Boot (CVE-2018-3968)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe una vulnerabilidad explotable en la protección verificada de arranque de Das U-Boot, desde la versión 2013.07-rc1 hasta la 2014.07-rc2. Las versiones afectadas carecen de una aplicación adecuada de las firmas FIT, lo que permite que un atacante omita el arranque verificado de U-Boot y ejecute un kernel sin firmar, embebido en un formato de imagen heredado. Para desencadenar esta vulnerabilidad, un atacante local necesita ser capaz de proporcionar la imagen de arranque.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2023

Vulnerabilidad en RISI Gestao de Horarios (CVE-2019-6491)
Fecha de publicación:
21/03/2019
Idioma:
Español
RISI Gestao de Horarios v3201.09.08 rev.23 permite la inyección SQL.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2019
Suscribirse a Vulnerabilidades