Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en D-Link Central WiFi Manager (CVE-2018-17440)
Fecha de publicación:
08/10/2018
Idioma:
Español
Se ha descubierto un problema en D-Link Central WiFi Manager en versiones anteriores a la v 1.03r0100-Beta1. Se expone un servidor FTP que sirve por defecto en el puerto 9000 y tiene credenciales embebidas (admin, admin). Aprovechando esto, un atacante remoto no autenticado podría ejecutar código PHP arbitrario subiendo cualquier archivo en el directorio web root y accediendo a él mediante una petición.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/04/2023

Vulnerabilidad en D-Link Central WiFi Manager (CVE-2018-17441)
Fecha de publicación:
08/10/2018
Idioma:
Español
Se ha descubierto un problema en D-Link Central WiFi Manager en versiones anteriores a la v 1.03r0100-Beta1. El parámetro "username" del endpoint addUser es vulnerable a Cross-Site Scripting (XSS) persistente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/04/2023

Vulnerabilidad en Foxit Reader y PhantomPDF (CVE-2018-16291)
Fecha de publicación:
08/10/2018
Idioma:
Español
Existe una vulnerabilidad explotable de uso de memoria previamente liberada en el motor JavaScript de Foxit Reader en versiones anteriores a la 9.3 y PhantomPDF en versiones anteriores a la 9.3. Esta vulnerabilidad es diferente de CVE-2018-16292, CVE-2018-16293, CVE-2018-16294, CVE-2018-16295, CVE-2018-16296 y CVE-2018-16297. Un documento PDF especialmente manipulado puede hacer que se reutilice un objeto previamente liberado en la memoria, lo que resulta en la ejecución de código arbitrario. Un atacante necesita engañar a un usuario para que abra el archivo malicioso para desencadenar esta vulnerabilidad. Si la extensión del plugin del navegador está habilitada, visitar un sitio malicioso también puede desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2018

Vulnerabilidad en Foxit Reader y PhantomPDF (CVE-2018-16294)
Fecha de publicación:
08/10/2018
Idioma:
Español
Existe una vulnerabilidad explotable de uso de memoria previamente liberada en el motor JavaScript de Foxit Reader en versiones anteriores a la 9.3 y PhantomPDF en versiones anteriores a la 9.3. Esta vulnerabilidad es diferente de CVE-2018-16291, CVE-2018-16292, CVE-2018-16293, CVE-2018-16295, CVE-2018-16296 y CVE-2018-16297. Un documento PDF especialmente manipulado puede hacer que se reutilice un objeto previamente liberado en la memoria, lo que resulta en la ejecución de código arbitrario. Un atacante necesita engañar a un usuario para que abra el archivo malicioso para desencadenar esta vulnerabilidad. Si la extensión del plugin del navegador está habilitada, visitar un sitio malicioso también puede desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2018

Vulnerabilidad en Foxit Reader y PhantomPDF (CVE-2018-16293)
Fecha de publicación:
08/10/2018
Idioma:
Español
Existe una vulnerabilidad explotable de uso de memoria previamente liberada en el motor JavaScript de Foxit Reader en versiones anteriores a la 9.3 y PhantomPDF en versiones anteriores a la 9.3. Esta vulnerabilidad es diferente de CVE-2018-16291, CVE-2018-16292, CVE-2018-16294, CVE-2018-16295, CVE-2018-16296 y CVE-2018-16297. Un documento PDF especialmente manipulado puede hacer que se reutilice un objeto previamente liberado en la memoria, lo que resulta en la ejecución de código arbitrario. Un atacante necesita engañar a un usuario para que abra el archivo malicioso para desencadenar esta vulnerabilidad. Si la extensión del plugin del navegador está habilitada, visitar un sitio malicioso también puede desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2018

Vulnerabilidad en Foxit Reader y PhantomPDF (CVE-2018-16292)
Fecha de publicación:
08/10/2018
Idioma:
Español
Existe una vulnerabilidad explotable de uso de memoria previamente liberada en el motor JavaScript de Foxit Reader en versiones anteriores a la 9.3 y PhantomPDF en versiones anteriores a la 9.3. Esta vulnerabilidad es diferente de CVE-2018-16291, CVE-2018-16293, CVE-2018-16294, CVE-2018-16295, CVE-2018-16296 y CVE-2018-16297. Un documento PDF especialmente manipulado puede hacer que se reutilice un objeto previamente liberado en la memoria, lo que resulta en la ejecución de código arbitrario. Un atacante necesita engañar a un usuario para que abra el archivo malicioso para desencadenar esta vulnerabilidad. Si la extensión del plugin del navegador está habilitada, visitar un sitio malicioso también puede desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2018

Vulnerabilidad en IBM Security Key Lifecycle Manager (CVE-2018-1750)
Fecha de publicación:
08/10/2018
Idioma:
Español
IBM Security Key Lifecycle Manager 3.0 especifica permisos para un recurso crítico para la seguridad de forma que permite que ese recurso sea leído o modificado por actores no planeados. IBM X-Force ID: 148511.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2018-1753)
Fecha de publicación:
08/10/2018
Idioma:
Español
IBM Tivoli Key Lifecycle Manager 2.6, 2.7 y 3.0 genera un mensaje de error que incluye información sensible sobre su entorno, usuarios o datos asociados. IBM X-Force ID: 148514.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en aplicaciones de Android de Auto-Masking (CVE-2018-5401)
Fecha de publicación:
08/10/2018
Idioma:
Español
Las aplicaciones de Android Auto-Maskin DCU 210E, RP-210E y Marine Pro Observer transmiten datos sensibles o críticos para la seguridad en texto claro en un canal de comunicación que puede ser rastreado por actores no autorizados. Los dispositivos transmiten la información de control de procesos mediante comunicaciones Modbus no cifradas. Impacto: un atacante puede explotar esta vulnerabilidad para observar información sobre configuraciones, opciones, qué sensores están presentes y en uso, y otro tipo de información para ayudar a manipular mensajes suplantados. Se requiere acceso a la red. Las versiones afectadas son las aplicaciones de Android Auto-Maskin DCU-210E RP-210E y Marine Pro Observer. Versiones anteriores a la 3.7 en ARMv7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en aplicaciones de Android de Auto-Masking (CVE-2018-5402)
Fecha de publicación:
08/10/2018
Idioma:
Español
Las aplicaciones de Android Auto-Maskin DCU 210E, RP-210E y Marine Pro Observer emplean un servidor web embebido que emplea texto plano para la transmisión del PIN del administrador. Impacto: Una vez autenticado, un atacante puede cambiar las configuraciones, subir nuevos archivos de configuración y subir código ejecutable mediante la subida de archivos para actualizaciones de firmware. Se requiere acceso a la red. Las versiones afectadas son las aplicaciones de Android Auto-Maskin DCU-210E RP-210E y Marine Pro Observer. Versiones anteriores a la 3.7 en ARMv7.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Auto-Maskin DCU 210E (CVE-2018-5399)
Fecha de publicación:
08/10/2018
Idioma:
Español
El firmware de Auto-Maskin DCU 210E contiene un servidor Dropbear SSH no documentado, v2015.55, configurado para escuchar en el puerto 22 mientras se está ejecutando DCU. El servidor DCU está configurado con una combinación embebida de nombre de usuario y contraseña de root/amroot. El servidor está configurado para emplear solo contraseñas en lugar de claves criptográficas; sin embargo, la imagen del firmware contiene una clave de host RSA para el servidor. Un atacante puede explotar esta vulnerabilidad para obtener acceso root al sistema operativo Angstrom Linux y modificar cualquier binario o archivo de configuración en el firmware. Las versiones afectadas son Auto-Maskin DCU-210E RP-210E: versiones anteriores a la 3.7 en ARMv7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en productos Auto-Maskin (CVE-2018-5400)
Fecha de publicación:
08/10/2018
Idioma:
Español
Los productos Auto-Maskin emplean un protocolo personalizado sin documentar para establecer comunicaciones Modbus con otros dispositivos sin validarlos. El dispositivo de origen envía un mensaje en texto plano, 48:65:6c:6c:6f:20:57:6f:72:6c:64, "Hello World" mediante los puertos UDP 44444-44446 a la dirección de retransmisión para el LAN. Sin verificación, los dispositivos responden a cualquiera de estos mensajes de transmisión en la red LAN con una respuesta en texto plano mediante UDP conteniendo el modelo del dispositivo y la versión de firmware. Siguiendo este intercambio, los dispositivos permiten las transmisiones Modbus entre los dos dispositivos en el puerto Modbus estándar TCP 502. Impacto: un atacante puede explotar esta vulnerabilidad para enviar mensajes arbitrarios a cualquier dispositivo DCU o RP mediante ataques de suplantación o reproducción durante el tiempo en el que tengan acceso a la red. Las versiones afectadas son Auto-Maskin DCU-210E RP-210E: versiones anteriores a la 3.7 en ARMv7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades