Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en coders/sun.c de GraphicsMagick (CVE-2017-12937)
Fecha de publicación:
18/08/2017
Idioma:
Español
La función ReadSUNImage en coders/sun.c de GraphicsMagick 1.3.26 tiene una vulnerabilidad de desbordamiento de búfer basado en montículos en la matriz de colores.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en coders/png.c de GraphicsMagick (CVE-2017-12935)
Fecha de publicación:
18/08/2017
Idioma:
Español
La función ReadMNGImage en coders/png.c de GraphicsMagick 1.3.26 maneja incorrectamente imágenes MNG de gran tamaño, provocando que haya lecturas de memoria no válidas en la función SetImageColorCallBack en magick/image.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en coders/wmf.c de GraphicsMagick (CVE-2017-12936)
Fecha de publicación:
18/08/2017
Idioma:
Español
La función ReadWMFImage en coders/wmf.c de GraphicsMagick 1.3.26 tiene un problema de uso de memoria previamente liberada para los datos asociados con el informe de excepciones.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en ext/standard/var_unserializer.re en PHP (CVE-2017-12932)
Fecha de publicación:
18/08/2017
Idioma:
Español
Ext/standard/var_unserializer.re en PHP en en sus versiones 7.0.x hasta 7.0.22 y versiones 7.1.x hasta 7.1.8 es propenso a un uso de memoria dinámica antes de liberación (heap use after free) al deserializar datos que no son de confianza. Esto está relacionado con el uso incorrecto de la API hash para borrado de claves en una situación de tamaño de array no válido. La explotación de este problema puede tener un impacto sin especificar en la integridad de PHP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en PHP (CVE-2017-12934)
Fecha de publicación:
18/08/2017
Idioma:
Español
ext/standard/var_unserializer.re en PHP en versiones 7.0.x anteriores a la 7.0.21 y versiones 7.1.x anteriores a la 7.1.7 es propenso a un uso de memoria dinámica antes de liberación (heap use after free) al deserializar datos que no son de confianza. Esto está relacionado con la función zval_get_type en Zend/zend_types.h. La explotación de este problema puede tener un impacto sin especificar en la integridad de PHP.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en finish_nested_data en PHP (CVE-2017-12933)
Fecha de publicación:
18/08/2017
Idioma:
Español
La función finish_nested_data en ext/standard/var_unserializer.re en PHP en versiones anteriores a la 5.6.31, versiones 7.0.x anteriores a la 7.0.21 y versiones 7.1.x anteriores a la 7.1.7 es propenso a sufrir un buffer over-read al deserializar datos que no son de confianza. La explotación de este problema puede tener un impacto sin especificar en la integridad de PHP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en spikekill.php en Cacti (CVE-2017-12927)
Fecha de publicación:
18/08/2017
Idioma:
Español
Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Cacti 1.1.17 en el parámetro method en spikekill.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco RV340, RV345, y RV345P Dual WAN Gigabit VPN Routers (CVE-2017-6784)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Cisco RV340, RV345, y RV345P Dual WAN Gigabit VPN Routers podría permitir que un atacante remoto sin autenticar acceda a datos sensibles. El atacante podría utilizar esta información para llevar a cabo ataques de reconocimiento adicionales. La vulnerabilidad se debe a que Cisco WebEx Meetings no protege lo suficiente los datos sensibles cuando responde a una petición HTTP a la interfaz web. Un atacante podría explotar la vulnerabilidad tratando de emplear el protocolo HTTP y mirando los datos en las respuestas HTTP provenientes de Cisco WebEx Meetings Server. Un exploit podría permitir que el atacante encuentre información sensible sobre la aplicación. Cisco Bug IDs: CSCve37988. Versiones afectadas conocidas: firmware 1.0.0.30, 1.0.0.33, 1.0.1.9, 1.0.1.16.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Web Security Appliance (WSA), Email Security Appliance (ESA), y Content Security Management Appliance (SMA) (CVE-2017-6783)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en el sondeo SNMP para Cisco Web Security Appliance (WSA), Email Security Appliance (ESA), y Content Security Management Appliance (SMA) podría permitir que un atacante remoto autenticado descubriese información confidencial sobre los aparatos que solo debería estar disponible para un usuario administrador. La vulnerabilidad ocurre porque los aparatos no protegen la información confidencial en reposo en respuesta a las peticiones de sondeo Simple Network Management Protocol (SNMP). Un atacante podría explotar esta vulnerabilidad haciendo una petición de sondeo SNMP manipulada al aparato de seguridad objetivo. Un exploit podría permitir que el atacante descubra información confidencial que debería estar restringida. El atacante podría utilizar esta información para llevar a cabo reconocimientos adicionales. Para explotar esta vulnerabilidad, el atacante debe conocer la cadena de comunidad SNMP configurada. Cisco Bug IDs: CSCve26106, CSCve26202, CSCve26224. Versiones afectadas conocidas: 10.0.0-230 (Web Security Appliance), 9.7.2-065 (Email Security Appliance), y 10.1.0-037 (Content Security Management Appliance).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Prime Infrastructure (CVE-2017-6782)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz administrativa web de Cisco Prime Infrastructure podría permitir que un usuario remoto autenticado modifique una página en la interfaz web de la aplicación afectada. La vulnerabilidad se debe a una sanitización inadecuada de valores de parámetro por parte de la aplicación afectada. Un atacante podría explotar esta vulnerabilidad inyectando código malicioso en un parámetro afectado y persuadiendo a un usuario para que acceda a una página web que desencadene el renderizado del código inyectado. Cisco Bug IDs: CSCve47074. Versiones afectadas conocidas: 3.2(0.0).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Elastic Services Controller (ESC) en Cisco Ultra Services Platform (CVE-2017-6778)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web Elastic Services Controller (ESC) de Cisco Ultra Platform podría permitir que un atacante remoto autenticado consiga información sensible. La vulnerabilidad se debe a la transmisión de información sensible como parte de una petición GET. Un atacante podría explotar esta vulnerabilidad enviando una petición GET a un dispositivo afectado. Un exploit podría permitir que el atacante vea información relacionada con la implementación de Ultra Services Platform. Cisco Bug IDs: CSCvd76406. Versiones afectadas conocidas: 21.0.v0.65839.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Elastic Services Controller (ESC) (CVE-2017-6776)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en el framework red de Cisco Elastic Services Controller (ESC) podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de tipo Cross-Site Scripting (XSS) contra un usuario de dicha interfaz. La vulnerabilidad se debe a la validación insuficiente de entrada de datos del usuario por parte del software afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que acceda a un enlace malicioso o interceptando una petición de usuario e inyectando código malicioso en la petición. Si se explota esta vulnerabilidad con éxito, el atacante podría ejecutar código de script arbitrario en el contexto del sitio afectado o permitir que el atacante pueda acceder a información sensible del navegador. Cisco Bug IDs: CSCvd76324. Versiones afectadas conocidas: 2.2(9.76) and 2.3(1).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades