Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenCV (CVE-2017-12606)
Fecha de publicación:
07/08/2017
Idioma:
Español
La versión 3.3 de OpenCV (Open Source Computer Vision Library) provoca un error de escritura fuera de límites en la función FillColorRow4 en utils.cpp cuando lee una imagen utilizando cv::imread.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en dispositivos Linksys EA4500 (CVE-2017-10677)
Fecha de publicación:
06/08/2017
Idioma:
Español
Existe una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en dispositivos Linksys EA4500 con versión de firmware anterior a 2.1.41.164606, tal y como demuestra una petición a apply.cgi para deshabilitar SIP.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en rsyslog (CVE-2017-12588)
Fecha de publicación:
06/08/2017
Idioma:
Español
Los módulos de entrada y salida de zmq3 en versiones de rsyslog anteriores a 8.28.0 interpretaban campos de descripción como cadenas de formato, lo que podía dar lugar a un ataque de tipo “format string” y causar un impacto no especificado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en ImageMagick (CVE-2017-12587)
Fecha de publicación:
06/08/2017
Idioma:
Español
ImageMagick 7.0.6-1 tiene una importante vulnerabilidad de bucle en la función ReadPWPImage en coders\pwp.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en instalador de Sandboxie 5071703 (CVE-2017-12480)
Fecha de publicación:
06/08/2017
Idioma:
Español
El instalador de Sandboxie 5071703 tiene una vulnerabilidad de secuestro de DLL o carga insegura de DLL mediante un archivo troyano dwmapi.dll o profapi.dll en un directorio AppData\Local\Temp.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en SLiMS 8 Akasia (CVE-2017-12585)
Fecha de publicación:
06/08/2017
Idioma:
Español
SLiMS 8 Akasia en su versión 8.3.1 tiene una inyección SQL en admin/AJAX_lookup_handler.php (parámetros tableName y tableFields), admin/AJAX_check_id.php y admin/AJAX_vocabolary_control.php. Esta vulnerabilidad puede ser explotada por usuarios remotos de librería autenticados.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en SLiMS 8 Akasia (CVE-2017-12586)
Fecha de publicación:
06/08/2017
Idioma:
Español
La versión 8.3.1 de SLiMS 8 Akasia tiene un problema de lectura de archivos arbitrarios debido a un salto de directorio en el parámetro url al admin/help.php. Esta vulnerabilidad puede ser explotada por usuarios remotos de librería remotos autenticados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en DokuWiki (CVE-2017-12583)
Fecha de publicación:
06/08/2017
Idioma:
Español
La versión 2017-02-19b de DokuWiki tiene una vulnerabilidad de tipo XSS en el parámetro at (o variable DATE_AT) al doku.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en SLiMS 8 Akasia (CVE-2017-12584)
Fecha de publicación:
06/08/2017
Idioma:
Español
No existe mitigación para la vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en la versión 8.3.1 de SLiMS 8 Akasia. Además, se puede actualizar un perfil de usuario completo (incluida la contraseña) sin necesidad de que se envíe la contraseña actual. Esto permite que atacantes remotos engañen a un usuario para que cambie su contraseña a una controlada por los atacantes y asumir el control total de la cuenta mediante los campos passwd1 y passwd2 en una operación admin/modules/system/app_user.php changecurrent=true.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en GitHub Electron (CVE-2017-12581)
Fecha de publicación:
06/08/2017
Idioma:
Español
GitHub Electron en versiones anteriores a la 1.6.8 permite la ejecución remota de comandos debido a una vulnerabilidad de omisión de nodeIntegration. Esta vulnerabilidad también afecta a todas las aplicaciones que incluyen código Electron equivalentes a la versión 1.6.8 o anteriores. Omitir la Same Origin Policy (SOP) es un prerrequisito. Sin embargo, las versiones recientes de Electron no tienen un cumplimiento estricto de esta política. Mediante la combinación de una omisión de SOP y una URL con privilegios empleada internamente por Electron, fue posible ejecutar primitivos Node.js nativos para ejecutar comandos del sistema operativo en el host del usuario. Concretamente, se podría emplear una ventana chrome-devtools://devtools/bundled/inspector.html para evaluar una llamada API a Node.js child_process.execFile.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Brother DCP-J132W (CVE-2017-12568)
Fecha de publicación:
06/08/2017
Idioma:
Español
Una vulnerabilidad de denegación de servicio en Debut embedded httpd 1.20 en Brother DCP-J132W (y, probablemente, otros modelos de DCP) permite que atacantes remotos bloqueen la impresora (interrumpiendo su conexión a la red) mediante el envío de una gran cantidad de paquetes HTTP.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Splunk Enterprise y Splunk Light (CVE-2017-12572)
Fecha de publicación:
05/08/2017
Idioma:
Español
Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) persistente en Splunk Enterprise 6.5.x anterior a 6.5.2; 6.4.x anterior a 6.4.6; y 6.3.x anterior a 6.3.9 y Splunk Light anterior a 6.5.2, cuya explotación requiere acceso de administrador, también conocido como SPL-134104.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades