Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en dispositivos Appear TV (CVE-2018-7539)
Fecha de publicación:
17/04/2018
Idioma:
Español
En dispositivos Appear TV XC5000 y XC5100 con firmware 3.26.217, es posible leer archivos del sistema operativo con una petición HTTP especialmente manipulada (como GET /../../../../../../../../../../../../etc/passwd) al servidor web (fuzzd/0.1.1) que ejecutan Maintenance Center en el puerto TCP/8088. Esto podría resultar en un compromiso total del dispositivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/05/2018

Vulnerabilidad en radare2 (CVE-2018-10186)
Fecha de publicación:
17/04/2018
Idioma:
Español
En radare2 2.5.0, hay una sobrelectura de búfer basada en memoria dinámica (heap) en la función r_hex_bin2str (libr/util/hex.c). Los atacantes remotos pueden aprovechar esta vulnerabilidad para provocar una denegación de servicio (DoS) mediante un archivo DEX manipulado. Este problema es diferente de CVE-2017-15368.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en radare2 (CVE-2018-10187)
Fecha de publicación:
17/04/2018
Idioma:
Español
En radare2 2.5.0, hay una sobrelectura de búfer basada en memoria dinámica (heap) en la función dalvik_op de libr/anal/p/anal_dalvik.c. Los atacantes remotos pueden aprovechar esta vulnerabilidad para provocar una denegación de servicio (DoS) mediante un archivo DEX manipulado. Nótese que este problema es diferente de CVE-2018-8809, que se parcheó con anterioridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en London Trust Media Private Internet Access VPN Client (CVE-2018-10190)
Fecha de publicación:
17/04/2018
Idioma:
Español
Una vulnerabilidad en London Trust Media Private Internet Access (PIA) VPN Client v77 para Windows podría permitir que un atacante local no autenticado ejecute archivos con privilegios elevados. Esta vulnerabilidad se debe a una implementación de controles de acceso insuficiente. Las opciones "Changelog" y "Help" disponibles del menú contextual de la bandeja generan una instancia elevada del navegador web por defecto del usuario. Un atacante podría explotar esta vulnerabilidad seleccionando "Run as Administrator" del menú contextual de un archivo ejecutable en el navegador de archivos del navegador web generado por defecto. Esto podría permitir que el atacante ejecute comandos privilegiados en el sistema objetivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Foscam C1 Indoor HD Camera (CVE-2017-2871)
Fecha de publicación:
17/04/2018
Idioma:
Español
Existen comprobaciones de seguridad insuficientes en el procedimiento de recuperación empleado por Foscam C1 Indoor HD Camera ejecutando el firmware de aplicación 2.52.2.43. Un atacante que esté en la misma subred de la cámara o que tenga acceso remoto de administrador puede comprometer por completo el dispositivo realizando una restauración de firmware con una imagen personalizada.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en Perl (CVE-2018-6798)
Fecha de publicación:
17/04/2018
Idioma:
Español
Se ha descubierto un problema en Perl, de la versión 5.22 a la 5.26. Si se hace que coincida una expresión regular dependiente de una locale manipulada, se puede provocar una sobrelectura de búfer basada en memoria dinámica (heap) y una potencial divulgación de información.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2020

Vulnerabilidad en Perl (CVE-2018-6797)
Fecha de publicación:
17/04/2018
Idioma:
Español
Se ha descubierto un problema en Perl 5.26. Una expresión regular manipulada puede provocar un desbordamiento de búfer basado en memoria dinámica (heap), con control sobre los bytes que se escriben.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en la función pack en Perl (CVE-2018-6913)
Fecha de publicación:
17/04/2018
Idioma:
Español
Desbordamiento de búfer basado en memoria dinámica (heap) en la función pack de Perl, en versiones anteriores a la 5.26.2, permite que atacantes dependientes del contexto ejecuten código arbitrario mediante un conteo de items largo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en TuziCMS (CVE-2018-10185)
Fecha de publicación:
17/04/2018
Idioma:
Español
Se ha descubierto un problema en TuziCMS v2.0.6. Hay una vulnerabilidad de Cross-Site Request Forgery (CSRF) que puede añadir una cuenta admin, tal y como queda demostrado con una llamada history.pushState.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2018

Vulnerabilidad en Open Web Analytics (CVE-2014-2294)
Fecha de publicación:
17/04/2018
Idioma:
Español
Open Web Analytics (OWA), en versiones anteriores a la 1.5.7, permite que atacantes remotos lleven a cabo ataques de inyección de objetos PHP mediante un objeto serializado manipulado en el parámetro owa_event en queue.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/05/2018

Vulnerabilidad en Omron CX-One (CVE-2018-7530)
Fecha de publicación:
17/04/2018
Idioma:
Español
El análisis sintáctico de archivos de proyecto mal formados en Omron CX-One, en versiones 4.42 y anteriores, incluyendo las siguientes aplicaciones: CX-FLnet, en versiones 1.00 y anteriores; CX-Protocol, en versiones 1.992 y anteriores; CX-Programmer, en versiones 9.65 y anteriores; CX-Server, en versiones 5.0.22 y anteriores; Network Configurator, en versiones 3.63 y anteriores y Switch Box Utility, en versiones 1.68 y anteriores, podría permitir que el puntero llame a un objeto incorrecto, lo que resulta en un acceso del recurso empleando una condición de tipo incompatible.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Omron CX-One (CVE-2018-8834)
Fecha de publicación:
17/04/2018
Idioma:
Español
El análisis sintáctico de archivos de proyecto mal formados en Omron CX-One, en versiones 4.42 y anteriores, incluyendo las siguientes aplicaciones: CX-FLnet, en versiones 1.00 y anteriores; CX-Protocol, en versiones 1.992 y anteriores; CX-Programmer, en versiones 9.65 y anteriores; CX-Server, en versiones 5.0.22 y anteriores; Network Configurator, en versiones 3.63 y anteriores y Switch Box Utility, en versiones 1.68 y anteriores, podría provocar un desbordamiento de búfer basado en memoria dinámica (heap).
Gravedad CVSS v3.1: ALTA
Última modificación:
29/09/2020
Suscribirse a Vulnerabilidades