Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin WordPress File Upload (CVE-2018-9172)
Fecha de publicación:
01/04/2018
Idioma:
Español
El plugin WordPress File Upload en versiones anteriores a la 4.3.3 de Iptanus para WordPress gestiona de manera incorrecta los atributos shortcode.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/05/2018

Vulnerabilidad en el componente WebRTC en DuckDuckGo (CVE-2018-6849)
Fecha de publicación:
01/04/2018
Idioma:
Español
En el componente WebRTC en DuckDuckGo 4.2.0, después de visitar una página web que intenta recolectar toda la información del cliente (como https://ip.voidsec.com), el navegador puede mostrar la dirección IP privada en una petición STUN.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/05/2018

Vulnerabilidad en Vulnerabilidad en dispositivos AXIS (CVE-2018-9157)
Fecha de publicación:
01/04/2018
Idioma:
Español
** EN DISPUTA ** Se ha descubierto un problema en los dispositivos AXIS M1033-W (cámara IP) con versión de firmware 5.40.5.1. La página web de subida no verifica el tipo de archivo y un atacante puede subir un webshell haciendo una petición fileUpload.shtml para un archivo .shtml personalizado, lo cual se interpreta en el módulo mod_include de Apache HTTP Server con soporte #exec cmd. El archivo necesita incluir una cadena específica para cumplir con la arquitectura interna del sistema. Después de la carga del webshell, un atacante puede usar la webshell para realizar la ejecución remota de código, como ejecutar un comando del sistema (ls, ping, cat /etc/passwd, etc.). NOTA: el proveedor indica que se trata de una característica o funcionalidad prevista.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2024

Vulnerabilidad en dispositivos AXIS P1354 (CVE-2018-9156)
Fecha de publicación:
01/04/2018
Idioma:
Español
** EN DISPUTA ** Se ha descubierto un problema en los dispositivos AXIS P1354 (cámara IP) con versión de firmware 5.90.1.1. La página web de subida no verifica el tipo de archivo y un atacante puede subir un webshell haciendo una petición fileUpload.shtml para un archivo .shtml personalizado, lo cual se interpreta en el módulo mod_include de Apache HTTP Server con soporte #exec cmd. El archivo necesita incluir una cadena específica para cumplir con la arquitectura interna del sistema. Después de la carga del webshell, un atacante puede usar la webshell para realizar la ejecución remota de código, como ejecutar un comando del sistema (ls, ping, cat /etc/passwd, etc.). NOTA: el proveedor indica que se trata de una característica o funcionalidad prevista.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2024

Vulnerabilidad en la función pushdup en libming (CVE-2018-9165)
Fecha de publicación:
01/04/2018
Idioma:
Español
La función pushdup en util/decompile.c en libming hasta la versión 0.4.8 no reconoce la necesidad de ActionPushDuplicate para realizar una copia profunda cuando una cadena está en la parte superior de la pila, haciendo que la librería sea vulnerable a una desreferencia de puntero NULL en util/decompile.c, lo que puede permitir que los atacantes provoquen una denegación de servicio (DoS) mediante un archivo SWF manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/05/2018

Vulnerabilidad en dispositivos AXIS (CVE-2018-9158)
Fecha de publicación:
01/04/2018
Idioma:
Español
Se ha descubierto un problema en los dispositivos AXIS M1033-W (cámara IP) con versión de firmware 5.40.5.1. No emplean un mecanismo adecuado de prevención de ataques de denegación de servicio (DoS), lo que conduce a un retraso en los tiempos de respuesta. Un atacante puede utilizar la herramienta hping3 para realizar un ataque de inundación IPv4 y los servicios se interrumpen desde el principio hasta el final del ataque.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/05/2018

Vulnerabilidad en el dispositivo Zyxel Multy X (CVE-2018-9149)
Fecha de publicación:
01/04/2018
Idioma:
Español
El dispositivo Zyxel Multy X (AC3000 Tri-Band WiFi System) no utiliza un mecanismo adecuado para proteger el UART. Después de que un atacante inutilice el dispositivo y emplee un cable USB-UART para conectarse al dispositivo, puede utilizar la contraseña 1234 para iniciar sesión en el sistema con la cuenta root. Además, un atacante puede iniciar el servicio TELNET del dispositivo como una puerta trasera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2019

Vulnerabilidad en DVD X Player Standard (CVE-2018-9128)
Fecha de publicación:
01/04/2018
Idioma:
Español
DVD X Player Standard 5.5.3.9 tiene un desbordamiento de búfer mediante un archivo .plf manipulado. Esto está relacionado con CVE-2007-3068.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2019

Vulnerabilidad en Z-BlogPHP (CVE-2018-8893)
Fecha de publicación:
31/03/2018
Idioma:
Español
Z-BlogPHP 1.5.1 Zero tiene Cross-Site Request Forgery (CSRF) en plugin_edit.php, lo que resulta en la posibilidad de ejecutar código PHP arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2018

Vulnerabilidad en Prisma Industriale Checkweigher PrismaWEB (CVE-2018-9161)
Fecha de publicación:
31/03/2018
Idioma:
Español
Prisma Industriale Checkweigher PrismaWEB 1.21 permite que los atacantes remotos descubran la contraseña prisma embebida para la cuenta prismaweb leyendo user/scripts/login_par.js.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/05/2018

Vulnerabilidad en Contec Smart Home (CVE-2018-9162)
Fecha de publicación:
31/03/2018
Idioma:
Español
Los dispositivos Contec Smart Home 4.15 no requieren autenticación para new_user.php, edit_user.php, delete_user.php y user.php, tal y como queda demostrado al cambiar la contraseña del administrador y obtener después el control de las puertas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/05/2018

Vulnerabilidad en Frog CMS (CVE-2018-8908)
Fecha de publicación:
31/03/2018
Idioma:
Español
Se ha descubierto un problema en /admin/?/user/add en Frog CMS 0.9.5. La funcionalidad de añadir usuario de la aplicación tiene Cross-Site Request Forgery (CSRF). Un usuario malicioso puede crear una página HTML y utilizarla para engañar a una víctima para que haga clic en ella. Una vez que se ejecute, se creará un usuario malicioso con privilegios de administrador. Esto ocurre debido a la ausencia de un token anti-CSRF en peticiones de modificación de estados.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/05/2018
Suscribirse a Vulnerabilidades