Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Oracle Database Server (CVE-2018-3110)
Fecha de publicación:
10/08/2018
Idioma:
Español
Se ha descubierto una vulnerabilidad en el componente Java VM de Oracle Database Server. Las versiones compatibles que se han visto afectadas son la 11.2.0.4, 12.1.0.2, 12.2.0.1 y la 18. Una vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios y con permisos Create Session que tenga acceso a red por medio de Oracle Net comprometa la seguridad de Java VM. Aunque la vulnerabilidad está presente en Java VM, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java VM. CVSS 3.0 Base Score 9.9 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/10/2019

Vulnerabilidad en la gema de ruby active-support (CVE-2018-3779)
Fecha de publicación:
10/08/2018
Idioma:
Español
La gema de ruby active-support 5.2.0 podría permitir que un atacante remoto ejecute código arbitrario en el sistema, provocado debido a que contiene una puerta trasera maliciosa. Un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en Dell WMS (CVE-2018-11063)
Fecha de publicación:
10/08/2018
Idioma:
Español
Dell WMS, en versiones 1.1 y anteriores, se ha visto afectado por múltiples vulnerabilidad de ruta de servicio sin entrecomillar. El software afectado instala múltiples servicios incorrectamente especificando las rutas a los ejecutables del servicio sin entrecomillar. Esto podría permitir que un usuario local sin privilegios ejecute archivos ejecutables arbitrarios con privilegios elevados.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2018

Vulnerabilidad en productos Dell EMC (CVE-2018-11048)
Fecha de publicación:
10/08/2018
Idioma:
Español
Dell EMC Data Protection Advisor, en versiones 6.2, 6,3, 6.4 y 6.5 y Dell EMC Integrated Data Protection Appliance (IDPA) en versiones 2.0 y 2.1 contienen una vulnerabilidad de inyección XEE (XML External Entity) en la API REST. Un usuario autenticado remoto malicioso podría explotar esta vulnerabilidad para leer ciertos archivos del sistema en el servidor o provocar una denegación de servicio (DoS) proporcionando DTD (Document Type Definition) especialmente manipulados en una petición XML.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/12/2020

Vulnerabilidad en dispositivos Creston (CVE-2018-13341)
Fecha de publicación:
10/08/2018
Idioma:
Español
Para las versiones anteriores a la 2.001.0037.001 de Crestron TSW-X60 y las versiones anteriores a la 1.502.0047.001 de MC3, las contraseñas para las cuentas sudo especiales podrían calcularse mediante información accesible a aquellos que tengan privilegios de usuario regular. Los atacantes podrían descifrar estas contraseñas, lo que les permitiría ejecutar llamadas ocultas a la API y escapar del entorno de la consola CTP con privilegios elevados.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en productos Crestron (CVE-2018-10630)
Fecha de publicación:
10/08/2018
Idioma:
Español
Para las versiones anteriores a la 2.001.0037.001 de Crestron TSW-X60 y las versiones anteriores a la 1.502.0047.001 de MC3, los dispositivos se distribuyen con la autenticación deshabilitada y no existen indicaciones de que los usuarios deban tomar medidas para habilitada. Al estar comprometidos, el acceso a la consola CTP se deja abierto.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en NetComm Wireless G LTE Light Industrial M2M Router (CVE-2018-14782)
Fecha de publicación:
10/08/2018
Idioma:
Español
NetComm Wireless G LTE Light Industrial M2M Router (NWL-25) con firmware en versiones 2.0.29.11 y anteriores. El dispositivo permite el acceso a los archivos de configuración y perfiles sin autenticar el usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en NetComm Wireless G LTE Light Industrial M2M Router (CVE-2018-14783)
Fecha de publicación:
10/08/2018
Idioma:
Español
NetComm Wireless G LTE Light Industrial M2M Router (NWL-25) con firmware en versiones 2.0.29.11 y anteriores. Puede ocurrir una condición de Cross-Site Request Forgery (CSRF), lo que permite que un atacante cambie las contraseñas del dispositivo de forma remota.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en NetComm Wireless G LTE Light Industrial M2M Router (CVE-2018-14784)
Fecha de publicación:
10/08/2018
Idioma:
Español
NetComm Wireless G LTE Light Industrial M2M Router (NWL-25) con firmware en versiones 2.0.29.11 y anteriores. El dispositivo es vulnerable a varios ataques de Cross-Site Scripting (XSS), lo que permite que un atacante remoto ejecute código arbitrario en el dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en NetComm Wireless G LTE Light Industrial M2M Router (CVE-2018-14785)
Fecha de publicación:
10/08/2018
Idioma:
Español
NetComm Wireless G LTE Light Industrial M2M Router (NWL-25) con firmware en versiones 2.0.29.11 y anteriores. El directorio del dispositivo está listado de forma abierta sin autenticación.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Medtronic MyCareLink Patient Monitor (CVE-2018-10622)
Fecha de publicación:
10/08/2018
Idioma:
Español
Se ha descubierto una vulnerabilidad en todas las versiones de Medtronic MyCareLink Patient Monitor 24950 y 24952. Los productos afectados emplean credenciales por producto que se almacenan en un formato recuperable. Un atacante puede emplear estas credenciales para autenticarse en red y cifrar datos locales en reposo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2025

Vulnerabilidad en Medtronic MyCareLink Patient Monitor (CVE-2018-10626)
Fecha de publicación:
10/08/2018
Idioma:
Español
Se ha descubierto una vulnerabilidad en todas las versiones de Medtronic MyCareLink Patient Monitor 24950 y 24952. El servicio de actualización de los productos afectados no verifica lo suficiente la autenticidad de los datos subidos. Un atacante que obtenga las credenciales por producto del monitor y empareje información del dispositivo cardíaco implantable podría subir datos inválidos a la red de Medtronic CareLink.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2025
Suscribirse a Vulnerabilidades