Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la aplicación de Bosch Smart Camera (CVE-2019-7728)
Fecha de publicación:
22/02/2019
Idioma:
Español
Se ha descubierto un error en versiones anteriores a la 1.3.1 de la aplicación Bosch Smart Camera para Android. Debido a las comprobaciones de certificados TLS implementadas de forma inadecuada, un actor malicioso podría tener éxito a la hora de ejecutar un ataque Man-in-the-Middle para algunas conexiones. (La aplicación Bosch Smart Home no se ha visto afectada, así como las aplicaciones de iOS).
Gravedad CVSS v3.1: ALTA
Última modificación:
22/02/2019

Vulnerabilidad en la aplicación de Bosch Smart Camera (CVE-2019-7729)
Fecha de publicación:
22/02/2019
Idioma:
Español
Se ha descubierto un error en versiones anteriores a la 1.3.1 de la aplicación Bosch Smart Camera para Android. Debido al establecimiento de permisos inseguros, una aplicación maliciosa podría tener éxito a la hora de recuperar clips de vídeo o instantáneas cacheadas para la compartición de clips. (La aplicación Bosch Smart Home no se ha visto afectada, así como las aplicaciones de iOS).
Gravedad CVSS v3.1: BAJA
Última modificación:
24/08/2020

Vulnerabilidad en Tiny Issue y pixeline Bugs (CVE-2019-9002)
Fecha de publicación:
22/02/2019
Idioma:
Español
Se ha descubierto un problema en Tiny Issue 1.3.1 y pixeline Bugs hasta la versión 1.3.2c. install/config-setup.php permite que los atacantes remotos ejecuten código PHP arbitrario mediante el parámetro database_host si el instalador sigue presente en su directorio original tras haber completado la instalación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en Tor (CVE-2019-8955)
Fecha de publicación:
21/02/2019
Idioma:
Español
En Tor, en versiones anteriores a la 0.3.3.12, en las 0.3.4.x anteriores a la 0.3.4.11, en las 0.3.5.x anteriores a la 0.3.5.8 y en las 0.4.x anteriores a la 0.4.0.2-alpha, puede ocurrir una denegación de servicio (DoS) remota contra los clientes Tor, además de reproducciones mediante el agotamiento de memoria en el programador "KIST cell".
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en software de Cisco (CVE-2019-1698)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la interfaz web del usuario del software Internet of Things Field Network Director (IoT-FND) de Cisco podría permitir que un atacante remoto autenticado obtenga acceso de lectura a información que se encuentre almacenada en un sistema afectado. La vulnerabilidad se debe a una gestión incorrecta de las entradas XEE (XML External Entity) cuando se analizan determinados archivos XML. Un atacante podría explotar esta vulnerabilidad importando un archivo XML manipulado con entradas maliciosas, lo que podría permitir al atacante leer archivos dentro de la aplicación afectada. Todas las versiones anteriores a la 4.4(0.26) se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en software de Cisco (CVE-2019-1700)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la gestión de un búfer de entrada FPGA (field-programmable gate array) para la serie Firepower 9000 de Cisco con el módulo de red de doble anchura "Firepower 2-port 100G" de Cisco (PID: FPR9K-DNM-2X100G) podría permitir a un atacante adyacente no autenticado provocar una condición de denegación de servicio (DoS). Se podría requerir intervención manual antes de que un dispositivo reanude su operativa normal. La vulnerabilidad se debe a un error de lógica en el FPGA relacionado con el procesamiento de diferentes tipos de paquetes de entradas. Un ataque podría explotar esta vulnerabilidad posicionándose en la subred adyacente y enviando una secuencia manipulada de paquetes de entradas a una determinada interfaz en el dispositivo afectado. Su explotación con éxito podría permitir que el atacante provoque una condición de cola de la interfaz se acuñe. Cuando se acuña una cola de la interfaz, el dispositivo afectado dejará de procesar cualquier paquete adicional que se reciba en la interfaz "acuñada". La versión 2.2 se ve afectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Signiant Manager+Agents (CVE-2019-8996)
Fecha de publicación:
21/02/2019
Idioma:
Español
En Signiant Manager+Agents, en versiones anteriores a la 13.5, la implementación del comando "set" tiene un desbordamiento de búfer.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/03/2023

Vulnerabilidad en Drupal (CVE-2019-6340)
Fecha de publicación:
21/02/2019
Idioma:
Español
Algunos tipos de campos no sanean correctamente los datos provenientes de fuentes "non-form" en Drupal en sus versiones 8.5.x anteriores a la 8.5.11 y en las versiones 8.6.x anteriores a la 8.6.10. Esto puede provocar, en algunos casos, la ejecución de código PHP. Un sitio solo se ve afectado por esto si se cumple una de las siguientes condiciones. Este sitio tiene el módulo Drupal 8 core RESTful Web Services (rest) habilitado y permite peticiones PATCH o POST, o el sitio tiene otro módulo de servicios web habilitado, como JSON:API en Drupal 8 o Services o RESTful Web Services en Drupal 7. (Nota: El módulo de Drupal 7 Services mismo no precisa una actualización en este momento. Sin embargo, se deberían instalar otras actualizaciones contribuidas que estén asociadas con este aviso si "Service" se encuentra en uso.)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2025

Vulnerabilidad en software de Cisco (CVE-2019-1681)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en el servicio TFTP del software Convergence System 1000 Series de Cisco podría permitir a un atacante remoto no autenticado recuperar archivos arbitrarios del dispositivo objetivo, posiblemente resultando en una divulgación de información. Dicha vulnerabilidad se debe a la validación incorrecta de entrada de datos de parte del usuario por parte del software afectado. Un atacante podría explotar esta vulnerabilidad utilizando técnicas de salto de directorio en peticiones maliciosas enviadas al servicio TFTP en un dispositivo objetivo. Un exploit podría permitir al atacante recuperar archivos arbitrarios del dispositivo objetivo, conduciendo a la divulgación de información sensible. Esta vulnerabilidad afecta a las distribuciones de software de Cisco IOS XR anteriores a la 6.5.2 para dispositivos de Cisco Network Convergence System 1000 Series cuando el servicio TFTP está habilitado.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2023

Vulnerabilidad en Cisco Unity Connection (CVE-2019-1685)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la interfaz SSO (Single Sign-On) SAML (Security Assertion Markup Language) de Cisco Unity Connection podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en el sistema afectado. Esta vulnerabilidad se debe a la validación insuficiente de entrada de datos de parte del usuario en la interfaz web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información sensible basada en el navegador. La versión 12.5 se ve afectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2023

Vulnerabilidad en software de Cisco (CVE-2019-1691)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en el motor de detección del software Firepower Threat Defense de Cisco podría permitir a un atacante remoto no autenticado provocar el reinicio inesperado del motor de detección SNORT, conduciendo a una Denegación de Servicio (DoS). Esta vulnerabilidad se debe a la gestión de errores incompleta de la cabecera del paquete SSL o TLS durante el establecimiento de una conexión. Un atacante podría explotar esta vulnerabilidad enviando un paquete SSL o TLS manipulado durante el handshake de conexión. Si se explota con éxito, podría permitir que el atacante consiga que el motor de detección SNORT se reinicie inesperadamente, conduciendo a una condición DoS parcial durante el reinicio del motor de detección. Las versiones anteriores a la 6.2.3.4 se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en Cisco (CVE-2019-1684)
Fecha de publicación:
21/02/2019
Idioma:
Español
Una vulnerabilidad en la implementación de Cisco Discovery Protocol o en Link Layer Discovery Protocol (LLDP) en Cisco IP Phone 7800 and 8800 Series podría permitir que un atacante adyacente no autenticado provoque que un teléfono afectado se recargue inesperadamente, lo que resulta en una condición temporal de denegación de servicio (DoS). Esta vulnerabilidad se debe a la falta de una validación de longitud de determinados campos de cabeceras de paquetes Cisco Discovery Protocol o LLDP. Un atacante podría explotar esta vulnerabilidad enviando un paquete Cisco Discovery Protocol o LLDP malicioso al teléfono objetivo. Si se explota con éxito, podría permitir que el atacante consiga que el teléfono afectado se reinicie, provocando una denegación de servicio (DoS) temporal. Todas las versiones anteriores a la 12.6(1)MN80 se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020
Suscribirse a Vulnerabilidades