Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Invoice Plane (CVE-2017-1000508)
Fecha de publicación:
09/02/2018
Idioma:
Español
Invoice Plane, en versiones 1.5.4 y anteriores, contiene una vulnerabilidad de Cross Site Scripting (XSS) en los detalles de cliente que puede resultar en la ejecución de código JavaScript. Parece ser que la vulnerabilidad se ha solucionado en la versión 1.5.5 y siguientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2018

Vulnerabilidad en Croogo (CVE-2017-1000510)
Fecha de publicación:
09/02/2018
Idioma:
Español
Croogo, en su versión 2.3.1-17-g6f82e6c, contiene una vulnerabilidad de Cross Site Scripting (XSS) en un nombre de página que puede resultar en la ejecución de código JavaScript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2018

Vulnerabilidad en Mautic (CVE-2017-1000506)
Fecha de publicación:
09/02/2018
Idioma:
Español
Mautic, en versiones 2.11.0 y anteriores, contiene una vulnerabilidad de Cross Site Scripting (XSS) en el nombre de compañía que puede resultar en una denegación de servicio (DoS) y en la ejecución de código JavaScript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2018

Vulnerabilidad en GIT (CVE-2018-1000021)
Fecha de publicación:
09/02/2018
Idioma:
Español
GIT, en versiones 2.15.1 y anteriores, contiene una vulnerabilidad de error de validación de entradas en Client que puede resultar en problemas que incluyen errores de configuración de terminal en RCE. Parece ser que este ataque puede ser explotado mediante un usuario que interactúe con un servidor git malicioso (o que haga que el tráfico se modifique en un ataque MITM).
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2024

Vulnerabilidad en Bitpay/insight-api Insight-api (CVE-2018-1000023)
Fecha de publicación:
09/02/2018
Idioma:
Español
Bitpay/insight-api Insight-api, en versiones anteriores a la 5.0.0, contiene un CWE-20: vulnerabilidad de validación de entradas en el endpoint de transmisión de transacciones que puede resultar en la revelación de la ruta completa. Parece ser que este ataque puede ser explotado mediante una petición web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2018

Vulnerabilidad en mcholste Enterprise Log Search and Archive (CVE-2018-1000029)
Fecha de publicación:
09/02/2018
Idioma:
Español
mcholste Enterprise Log Search and Archive (ELSA), en la versión revision 1205, commit con ID 2cc17f1 y anteriores, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en index view (/). Este ataque parece ser explotable mediante una carga útil enviada mediante los parámetros type, name y value en /Query/set_preference y los parámetros name y value en /Query/preference. La carga útil se ejecuta cuando el usuario visita la vista index (/).
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/03/2018

Vulnerabilidad en Electrum Technologies GmbH Electrum Bitcoin Wallet (CVE-2018-1000022)
Fecha de publicación:
09/02/2018
Idioma:
Español
Electrum Technologies GmbH Electrum Bitcoin Wallet, en versiones anteriores a la 3.0.5, contiene una vulnerabilidad de falta de autenticación en la interfaz JSONRPC que puede resultar en el robo de Bitcoins si el wallet del usuario no está protegido por contraseña. Parece ser que este ataque puede ser explotado mediante una víctima que acceda a una página web con JavaScript especialmente manipulado. Parece ser que la vulnerabilidad se ha solucionado en la versión 3.0.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en Squid Software Foundation Squid HTTP Caching Proxy (CVE-2018-1000024)
Fecha de publicación:
09/02/2018
Idioma:
Español
Squid Software Foundation Squid HTTP Caching Proxy, en versiones 3.0 a 3.5.27 y 4.0 a 4.0.22 contiene una vulnerabilidad de manipulación de punteros incorrecta en el procesamiento de respuestas ESI. Esto puede resultar en una denegación de servicio (DoS) para todos los clientes que empleen el proxy. Parece que el ataque puede ser explotado mediante servidores remotos que envían una carga útil de respuesta HTTP que contiene una sintaxis válida pero inusual de ESI. Parece ser que la vulnerabilidad se ha solucionado en la versión 4.0.23 y siguientes.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Jerome Gamez Firebase Admin SDK for PHP (CVE-2018-1000025)
Fecha de publicación:
09/02/2018
Idioma:
Español
Jerome Gamez Firebase Admin SDK for PHP, de la versión 3.2.0 a la 3.8.0, contiene una vulnerabilidad de control de acceso incorrecto en src/Firebase/Auth/IdTokenVerifier.php, que no verifica la firma de tokens y que puede resultar en JWT con cualquier dirección de email e ID de usuario que pueda ser falsificado a partir de un token real o de la nada. Parece que el ataque puede ser explotado mediante un atacante que solo necesitaría saber la dirección de correo electrónico de la víctima en muchos casos. Parece ser que la vulnerabilidad se ha solucionado en la versión 3.8.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en el kernel de Linux (CVE-2018-1000028)
Fecha de publicación:
09/02/2018
Idioma:
Español
El kernel de Linux, en versiones posteriores al commit con ID bdcf0a423ea1 - 4.15-rc4+, 4.14.8+, 4.9.76+, 4.4.111+, contiene una vulnerabilidad de control de acceso incorrecto en el servidor NFS (nfsd) que puede resultar en que usuarios remotos lean o escriban archivos para los que no deberían tener permisos mediante NFS. Este ataque parece ser explotable por un servidor NFS que debe exportar un sistema de archivos con las opciones "rootsquash" habilitadas. Parece ser que la vulnerabilidad se ha solucionado tras el commit con ID 1995266727fa.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Dolibarr (CVE-2017-1000509)
Fecha de publicación:
09/02/2018
Idioma:
Español
Dolibarr, en su versión 6.0.2, contiene una vulnerabilidad de Cross Site Scripting (XSS) en los detalles de producto que puede resultar en la ejecución de código JavaScript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2022

Vulnerabilidad en Squid Software Foundation Squid HTTP Caching Proxy (CVE-2018-1000027)
Fecha de publicación:
09/02/2018
Idioma:
Español
Squid Software Foundation Squid HTTP Caching Proxy, en versiones anteriores a la 4.0.23, contiene una vulnerabilidad de desreferencia de puntero NULL en el procesamiento de cabeceras HTTP Response X-Forwarded-For. Esto puede resultar en una denegación de servicio (DoS) para todos los clientes que empleen el proxy. Este ataque parece ser explotable mediante un servidor HTTP remoto que responda con una cabecera X-Forwarded-For a ciertos tipos de petición HTTP. Parece ser que la vulnerabilidad se ha solucionado en la versión 4.0.23 y siguientes.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2019
Suscribirse a Vulnerabilidades