Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en switchGroup() en Phusion Passenger (CVE-2018-12615)
Fecha de publicación:
21/06/2018
Idioma:
Español
Se ha descubierto un problema en switchGroup() en agent/ExecHelper/ExecHelperMain.cpp en Phusion Passenger en versiones anteriores a la 5.3.2. El conjunto de grupos (gidset) no está configurado correctamente, lo que hace que sea aleatorio (p. ej. la memoria no inicializada) decidir qué grupos suplementarios se están estableciendo mientras se bajan los privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en RSA Authentication Manager Security Console (CVE-2018-1254)
Fecha de publicación:
21/06/2018
Idioma:
Español
RSA Authentication Manager Security Console en versiones 8.3 P1 y anteriores contiene una vulnerabilidad Cross-Site Scripting (XSS) reflejado. Un atacante remoto no autenticado podría explotar esta vulnerabilidad engañando a un administrador Security Console víctima para que proporcione código HTML o JavaScript malicioso a una aplicación web vulnerable, que se devuelve a la víctima y es ejecutado por el navegador web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2020

Vulnerabilidad en RSA Authentication Manager Operation Console (CVE-2018-1253)
Fecha de publicación:
21/06/2018
Idioma:
Español
RSA Authentication Manager Operation Console, en versiones 8.3 P1 y anteriores, contiene una vulnerabilidad de Cross-Site Scripting (XSS) persistente. Un administrador de Operations Console podría explotar esta vulnerabilidad para almacenar código HTML o JavaScript arbitrario mediante la interfaz web. Cuando otros administradores Operations Console abren la página afectada, los scripts inyectados pueden ejecutarse en sus navegadores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2020

Vulnerabilidad en el kernel de Linux (CVE-2016-10723)
Fecha de publicación:
21/06/2018
Idioma:
Español
** EN DISPUTA ** Se ha descubierto un problema en el kernel de Linux hasta la versión 4.17.2. Debido a que el asignador de páginas no asigna recursos de la CPU al propietario del mutex oom_lock mutex, un usuario local sin privilegios puede bloquear el sistema para siempre malgastando recursos de la CPU del asignador de la página (p.ej., mediante eventos concurrentes de error de página) cuando se invoca al killer OOM global. NOTA: el mantenedor de software no ha aceptado ciertos parches propuestos, en parte debido que, según su punto de vista, "el problema subyacente no es trivial de manejar".
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2024

Vulnerabilidad en App Center en QNAP QTS (CVE-2017-13072)
Fecha de publicación:
21/06/2018
Idioma:
Español
Vulnerabilidad Cross-Site Scripting (XSS) en App Center en QNAP QTS 4.2.6 build 20171208, QTS 4.3.3 build 20171213, QTS 4.3.4 build 20171223 y sus versiones anteriores podría permitir que los atacantes remotos inyecten código JavaScript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/08/2018

Vulnerabilidad en LDAP Server en QNAP QTS (CVE-2018-0712)
Fecha de publicación:
21/06/2018
Idioma:
Español
Vulnerabilidad de inyección de comandos en LDAP Server en QNAP QTS 4.2.6 build 20171208, QTS 4.3.3 build 20180402, QTS 4.3.4 build 20180413 y sus versiones anteriores podría permitir que los atacantes remotos ejecuten comandos arbitrarios o instalen malware en el NAS.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/10/2019

Vulnerabilidad en Dovecot (CVE-2017-2669)
Fecha de publicación:
21/06/2018
Idioma:
Español
Dovecot en versiones anteriores a la 2.2.29 es vulnerable a una denegación de servicio (DoS). Cuando se emplearon los "dict" passdb y userdb para la autenticación de usuarios, el nombre de usuario enviado por el cliente IMAP/POP3 se envió mediante var_expand() para realizar la expansión de %variable. El envío de campos %variable especialmente manipulados podría resultar en un uso excesivo de memoria que provoca que el proceso se cierre inesperadamente (y se reinicie) o en un uso excesivo de CPU que provoca que todas las autenticaciones dejen de responder.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en foreman (CVE-2017-2672)
Fecha de publicación:
21/06/2018
Idioma:
Español
Se ha encontrado un error en foreman en versiones anteriores a la 1.15 en el registro de adición y registro de imágenes. Un atacante con acceso al archivo de logs de foreman podría ver contraseñas para sistemas aprovisionados en el archivo de registro, lo que les permitiría acceder a esos sistemas.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Unified Communications Manager IM Presence Service (CVE-2018-0363)
Fecha de publicación:
21/06/2018
Idioma:
Español
Una vulnerabilidad en la interfaz de administración web de Cisco Unified Communications Manager IM Presence Service podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Request Forgery (CSRF) y realizar acciones arbitrarias en un dispositivo afectado. La vulnerabilidad se debe a la medidas de protección contra CSRF insuficientes para la interfaz de administración web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz siga un enlace manipulado. Su explotación con éxito podría permitir que el atacante realice acciones arbitrarias en un dispositivo objetivo mediante un navegador web y con los privilegios del usuario. Cisco Bug IDs: CSCvi55878.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Unified Communications Domain Manager (CVE-2018-0364)
Fecha de publicación:
21/06/2018
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Unified Communications Domain Manager podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Request Forgery (CSRF) y realizar acciones arbitrarias en un dispositivo afectado. La vulnerabilidad se debe a la medidas de protección contra CSRF insuficientes para la interfaz de administración web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz siga un enlace manipulado. Su explotación con éxito podría permitir que el atacante realice acciones arbitrarias en un dispositivo objetivo mediante un navegador web y con los privilegios del usuario. Cisco Bug IDs: CSCvi44320.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Firepower Management Center (CVE-2018-0365)
Fecha de publicación:
21/06/2018
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Firepower Management Center podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Request Forgery (CSRF) y realizar acciones arbitrarias en un dispositivo afectado. La vulnerabilidad se debe a la medidas de protección contra CSRF insuficientes para la interfaz de administración web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz siga un enlace malicioso. Su explotación con éxito podría permitir que el atacante realice acciones arbitrarias en un dispositivo objetivo mediante un navegador web y con los privilegios del usuario. Cisco Bug IDs: CSCvb19750.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/11/2024

Vulnerabilidad en la interfaz de administrador web en Cisco Meeting Server (CVE-2018-0371)
Fecha de publicación:
21/06/2018
Idioma:
Español
Una vulnerabilidad en la interfaz de administrador web en Cisco Meeting Server podría permitir que un atacante remoto autenticado provoque una condición de denegación de servicio (DoS). La vulnerabilidad se debe a una validación insuficiente de las peticiones HTTP entrantes. Un atacante podría explotar esta vulnerabilidad enviando una petición HTTP manipulada a la interfaz de administrador web de un Cisco Meeting Server afectado. Su explotación con éxito podría permitir que el atacante reinicie el sistema, finalice todas las llamadas que se estén realizando y provocando una denegación de servicio (DoS) en el producto afectado. Esta vulnerabilidad afecta a los siguientes lanzamientos de Cisco Meeting Server: Acano X-Series, Cisco Meeting Server 1000 y Cisco Meeting Server 2000. Cisco Bug IDs: CSCvi48624.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades