Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zoho ManageEngine Desktop Central (CVE-2018-11716)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en Zoho ManageEngine Desktop Central 100230. Hay un acceso remoto no autenticado a todos los archivos de registro de una instancia Desktop Central que contienen información crítica (información privada como la localización de dispositivos inscritos, contraseñas en texto claro, nivel de parche, etc.) mediante una petición GET en los puertos 8022, 8443 o 8444.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/09/2018

Vulnerabilidad en la característica Notes Client Single Logon en IBM Notes (CVE-2013-0522)
Fecha de publicación:
16/07/2018
Idioma:
Español
La característica Notes Client Single Logon en IBM Notes 8.0, 8.0.1, 8.0.2, 8.5, 8.5.1, 8.5.2, 8.5.3 y 9.0 en Windows permite que usuarios locales descubran contraseñas mediante vectores relacionados con un mecanismo de comunicación de un sistema operativo no especificado para la transmisión de contraseñas entre Windows y Notes. IBM X-Force ID: 82531.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2018

Vulnerabilidad en Zoho ManageEngine Desktop Central (CVE-2018-11717)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en Zoho ManageEngine Desktop Central 100251. Aprovechando el acceso a un archivo de registro, un atacante dependiente del contexto puede obtener (dependiendo de los módulos configurados) la contraseña/nombre de usuario cifrada en Base64 de las cuentas AD, la contraseña/nombre de usuario y las opciones de mail en texto claro de la cuenta EAS (una cuenta AD empleada para enviar mails), la contraseña en texto claro recovery_password de los dispositivos Android, la contraseña en texto claro de la cuenta "set", la ubicación de los dispositivos inscritos en la plataforma (con el UUID e información relacionada con el nombre de la persona en la ubicación), información crítica sobre todos los dispositivos inscritos, como el número de serie, el UUID, el modelo, el nombre y auth_session_token (que puede emplearse para suplantar una identidad de terminal en la plataforma), etc.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/09/2018

Vulnerabilidad en Zeta Producer Desktop CMS (CVE-2018-13981)
Fecha de publicación:
16/07/2018
Idioma:
Español
Los sitios web que fueron construidos desde Zeta Producer Desktop CMS en versiones anteriores a la 14.2.1 son vulnerables a una ejecución remota de código no autenticada debido a un componente por defecto que permite la subida arbitraria de archivos PHP. Esto se debe a que el widget formmailer bloquea archivos .php, pero no los archivos .php5 o .phtml. Esto está relacionado con /assets/php/formmailer/SendEmail.php y /assets/php/formmailer/functions.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2018

Vulnerabilidad en X File Explorer (CVE-2014-2079)
Fecha de publicación:
16/07/2018
Idioma:
Español
X File Explorer (también conocido como xfe) podría permitir que usuarios locales omitan las restricciones de acceso planeadas y obtengan acceso a archivos arbitrarios aprovechando el error a la hora de emplear máscaras de directorio al crear archivos en las comparticiones Samba y NFS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/09/2018

Vulnerabilidad en Zeta Producer Desktop CMS (CVE-2018-13980)
Fecha de publicación:
16/07/2018
Idioma:
Español
Los sitios web que fueron construidos desde Zeta Producer Desktop CMS en versiones anteriores a la 14.2.1 son vulnerables a una divulgación de archivos sin autenticar si el plugin "filebrowser" está instalado. Esto se debe a un salto de directorio en assets/php/filebrowser/filebrowser.main.php?file=../.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2020

Vulnerabilidad en Atlassian Universal Plugin Manager (CVE-2018-5229)
Fecha de publicación:
16/07/2018
Idioma:
Español
La clase NotificationRepresentationFactoryImpl en Atlassian Universal Plugin Manager, en versiones anteriores a la 2.22.9, permite que atacantes remotos inyecten HTML o JavaScript arbitrario mediante una vulnerabilidad Cross-Site Scripting (XSS) en los nombres de los add-ons publicados por un usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2018

Vulnerabilidad en el plugin Geo Mashup para WordPress (CVE-2018-14071)
Fecha de publicación:
16/07/2018
Idioma:
Español
El plugin Geo Mashup en versiones anteriores a la 1.10.4 para WordPress tiene un saneamiento insuficiente de post editor y otras entradas del usuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/09/2024

Vulnerabilidad en curl y libcurl (CVE-2017-7468)
Fecha de publicación:
16/07/2018
Idioma:
Español
En curl y libcurl 7.52.0 hasta e incluyendo la versión 7.53.1, libcurl intenta retomar una sesión TLS aunque el certificado del cliente haya cambiado. Esto es inaceptable, ya que un servidor por sus especificaciones puede saltarse la comprobación de certificado de cliente al retomar su operativa para emplear en su lugar la identidad antigua que fue establecida por el anterior certificado (o no certificado). Por defecto, libcurl soporta el uso de un ID/ticket TLS para retomar sesiones TLS anteriores para acelerar los handshakes TLS subsecuentes. Se emplean cuando, por algún motivo, una conexión TLS no pudo mantenerse activa para hacer que el siguiente handshake fuese más rápido. Este error es una regresión y es idéntico a CVE-2016-5419, reportado el 3 de agosto de 2016, pero afectando a un rango de versiones diferente.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en la API REST en Infinispan (CVE-2017-2638)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto que la API REST en Infinispan en versiones anteriores a la 9.0.0 no aplicaba correctamente las restricciones auth. Un atacante podría emplear esta vulnerabilidad para leer o modificar datos en la caché por defecto o un nombre de caché conocido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en el recurso IncomingMailServers en Atlassian JIRA Server (CVE-2018-13387)
Fecha de publicación:
16/07/2018
Idioma:
Español
El recurso IncomingMailServers en Atlassian JIRA Server en versiones anteriores a la 7.6.7, desde la versión 7.7.0 antes de la 7.7.5, desde la versión 7.8.0 antes de la 7.8.5, desde la versión 7.9.0 antes de la 7.9.3 y desde la versión 7.10.0 antes de la 7.10.2 permite que atacantes remotos inyecten HTML o JavaScript arbitrarios mediante una vulnerabilidad Cross-Site Scripting (XSS) en el parámetro messagesThreshold, ya que la solución para CVE-2017-18039 estaba incompleta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2022

Vulnerabilidad en UserWallet (CVE-2018-14085)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en una implementación de contrato inteligente para UserWallet 0x0a7bca9FB7AfF26c6ED8029BB6f0F5D291587c42, un token de Ethereum. Supongamos que el propietario añade la dirección del contrato malicioso a su sweeper. El contrato malicioso se vería así: contract Exploit { uint public start; function sweep(address _token, uint _amount) returns (bool) { start = 0x123456789; return true;} }. Así, cuando se llama a la función sweep() en el contrato UserWallet, cambiará sweeperList a 0X123456789.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2018
Suscribirse a Vulnerabilidades