Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en las cámaras IP HikVision (CVE-2017-14953)
Fecha de publicación:
01/12/2017
Idioma:
Español
** EN DISPUTA ** Las cámaras IP HikVision, cuando se utilizan en una configuración por cable, permiten que los atacantes cercanos físicamente desencadenen la asociación con un punto de acceso arbitrario utilizando un SSID por defecto sin cifrado o autenticación de wifi. NOTA: El vendedor afirma que esto no es una vulnerabilidad, sino más bien un aumento de la superficie de ataque del producto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en dispositivos ZTE ZXDSL 831CII (CVE-2017-16953)
Fecha de publicación:
01/12/2017
Idioma:
Español
connoppp.cgi en dispositivos ZTE ZXDSL 831CII no requiere autenticación básica HTTP, lo que permite que los atacantes remotos modifiquen la configuración PPPoE o realicen una configuración maliciosa mediante una petición GET.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en iSmartAlarm CubeOne (CVE-2017-13664)
Fecha de publicación:
01/12/2017
Idioma:
Español
Exposición de archivos de contraseña en versiones 2.2.4.8 y anteriores de iSmartAlarm CubeOne permite que los atacantes ejecuten comandos arbitrarios con privilegios de administrador recuperando las credenciales de este archivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en la aplicación Piwigo (CVE-2017-16893)
Fecha de publicación:
01/12/2017
Idioma:
Español
La aplicación Piwigo se ve afectada por una vulnerabilidad de inyección SQL en la versión 2.9.2 y posiblemente en las anteriores. Esta vulnerabilidad permite que los atacantes remotos autenticados obtengan información en el contexto del usuario utilizado por la aplicación para recuperar datos de la base de datos. tags.php se ve afectado: los valores de los parámetros edit_list no están sanitizados; se utilizan para construir una consulta SQL y recuperar una lista de usuarios registrados en la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en la función setpermissions en Arq (CVE-2017-15357)
Fecha de publicación:
01/12/2017
Idioma:
Español
La función setpermissions en la herramienta de actualización automática en Arq en versiones anteriores a la 5.9.7 para Mac permite que los usuarios locales obtengan privilegios root mediante un ataque de symlink en el propio archivo binario del actualizador.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en apps auxiliares en Arq (CVE-2017-16895)
Fecha de publicación:
01/12/2017
Idioma:
Español
Las apps auxiliares (1) arq_updater, (2) arqcommitter, (3) standardrestorer, (4) arqglacierrestorer y (5) arqs3glacierrestorer en Arq 5.x en versiones anteriores a la 5.10 para Mac permiten que los usuarios locales obtengan privilegios root mediante un paquete de datos manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en libXfont y libXfont2 (CVE-2017-16611)
Fecha de publicación:
01/12/2017
Idioma:
Español
En libXfont en versiones anteriores a la 1.5.4 y libXfont2 en versiones anteriores a la 2.0.3, un atacante local puede abrir (pero no leer) archivos en el sistema como root, desencadenando rebobinados de cinta, watchdogs o mecanismos similares que se pueden desencadenar abriendo archivos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Umbrella Virtual Appliance (CVE-2017-6679)
Fecha de publicación:
01/12/2017
Idioma:
Español
Cisco Umbrella Virtual Appliance en sus versiones 2.0.3 y anteriores contenían un túnel de soporte remoto cifrado sin documentar (SSH) que se iniciaba automáticamente desde la máquina del cliente a los hubs SSH de Cisco en los CPD de Umbrella. Estos túneles se utilizaban en principio para proporcionar soporte remoto y permitían al personal autorizado/autenticado del equipo de Cisco Umbrella para que accediesen a la máquina remotamente y obtuvieses el control total sin la aprobación explícita del cliente. Para resolver esta vulnerabilidad, la versión 2.1.0 de Umbrella Virtual Appliance ahora necesita la aprobación explícita del cliente antes de que se pueda establecer un túnel SSH desde la máquina virtual al servidor destino de Cisco.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en el plugin REST en Apache Struts (CVE-2017-15707)
Fecha de publicación:
01/12/2017
Idioma:
Español
El plugin REST en Apache Struts desde la versión 2.5 hasta la 2.5.14 emplea una librería JSON-lib desactualizada vulnerable y que permite llevar a cabo un ataque de denegación de servicio utilizando una petición maliciosa con una carga útil JSON especialmente manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Apache Qpid Broker-J (CVE-2017-15701)
Fecha de publicación:
01/12/2017
Idioma:
Español
En Apache Qpid Broker-J versiones 6.1.0 hasta 6.1.4 (inclusive), el broker no impone apropiadamente un tamaño máximo de trama en tramas AMQP versión 1.0. Un atacante remoto no autenticado podría explotar esto para hacer que el broker agote toda la memoria disponible y finalmente termine. Los protocolos AMQP más antiguos no se ven afectados.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Broker-J de Apache Qpid (CVE-2017-15702)
Fecha de publicación:
01/12/2017
Idioma:
Español
En las versiones 0.18 a 0.32 de Broker-J de Apache Qpid, si el broker está configurado con diferentes proveedores de autenticación en diferentes puertos (uno de ellos es un puerto HTTP), un atacante remoto no autenticado puede engañar al broker conectándose al puerto HTTP para que utilice un proveedor de autenticación que se configuró en un puerto diferente. El atacante aún necesitaría credenciales válidas con el proveedor de autenticación en el puerto suplantado. Esto es un problema cuando el puerto suplantado tiene una protección de autenticación más débil (por ejemplo, acceso anónimo, cuentas por defecto, etc.) y normalmente se protege con reglas de firewall o similares que pueden ser omitidos con esta vulnerabilidad. Los puertos AMQP no se ven afectados. Las versiones 6.0.0 y posteriores no se ven afectadas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en sDNSProxy.exe (CVE-2017-10895)
Fecha de publicación:
01/12/2017
Idioma:
Español
sDNSProxy.exe en sus versiones 1.1.0.0 y anteriores permite que los atacantes remotos provoquen una denegación de servicio mediante vectores no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades