Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el módulo SCCP en productos Huawei (CVE-2017-17282)
Fecha de publicación:
09/03/2018
Idioma:
Español
El módulo SCCP (Signalling Connection Control Part) en Huawei DP300 V500R002C00, RP200 V500R002C00, V600R006C00, TE30 V100R001C10, V500R002C00, V600R006C00, TE40 V500R002C00, V600R006C00, TE50 V500R002C00, V600R006C00, TE60 V100R001C10, V500R002C00 y V600R006C00 tiene una vulnerabilidad de desbordamiento de búfer. Un atacante debe averiguar la forma de enviar repetidamente paquetes mal formados a los productos afectados. Dada la validación de entradas insuficiente, un exploit con éxito podría provocar el funcionamiento erróneo de algunos servicios.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/03/2018

Vulnerabilidad en el controlador Touchscreen en productos Huawei (CVE-2016-8783)
Fecha de publicación:
09/03/2018
Idioma:
Español
El controlador Touchscreen en Huawei H60 (Honor 6), en versiones anteriores a H60-L02_6.12.16 y P9 Plus, en versiones anteriores a VIE-AL10BC00B356, tiene una vulnerabilidad de desbordamiento de pila. Un atacante podría engañar a un usuario para que instale una aplicación maliciosa en el smartphone y enviar un parámetro dado al controlador de la pantalla táctil para provocar el cierre inesperado del sistema o escalar privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/03/2018

Vulnerabilidad en productos Huawei (CVE-2017-15314)
Fecha de publicación:
09/03/2018
Idioma:
Español
Huawei DP300 V500R002C00, RP200 V500R002C00SPC200, V600R006C00, TE30 V100R001C10SPC300, V100R001C10SPC500, V100R001C10SPC600, V100R001C10SPC700, V500R002C00SPC200, V500R002C00SPC500, V500R002C00SPC600, V500R002C00SPC700, V500R002C00SPC900, V500R002C00SPCb00, V600R006C00, TE40 V500R002C00SPC600, V500R002C00SPC700, V500R002C00SPC900, V500R002C00SPCb00, V600R006C00, TE50 V500R002C00SPC600, V500R002C00SPC700, V500R002C00SPCb00, V600R006C00, TE60 V100R001C10, V500R002C00 y V600R006C00 tienen una vulnerabilidad de fuga de memoria debido a que la memoria no se libera cuando el analizador XML fracasa a la hora de procesar algunos nodos. Un atacante podría aprovecharse de esto para provocar una fuga de memoria, lo que podría conducir a excepciones del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en el módulo patch en productos Huawei (CVE-2017-15315)
Fecha de publicación:
09/03/2018
Idioma:
Español
El módulo patch en Huawei NIP6300 V500R001C20SPC100, V500R001C20SPC200, NIP6600 V500R001C20SPC100, V500R001C20SPC200, Secospace USG6300 V500R001C20SPC100, V500R001C20SPC200, Secospace USG6500 V500R001C20SPC100 y V500R001C20SPC200 tienen una vulnerabilidad de filtrado de memoria. Un atacante autenticado podría ejecutar comandos especiales en numerosas ocasiones, por lo que ocurriría un filtrado de memoria y, finalmente, el dispositivo se reiniciaría
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en Tiki (CVE-2018-7290)
Fecha de publicación:
09/03/2018
Idioma:
Español
Existe Cross-Site Scripting (XSS) en Tiki, en versiones anteriores a la 12.13, 15.6, 17.2 y la 18.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2018

Vulnerabilidad en el portal Aruba Web Management (CVE-2014-2592)
Fecha de publicación:
09/03/2018
Idioma:
Español
Vulnerabilidad de subida de archivos sin restricción en el portal Aruba Web Management permite que atacantes remotos ejecuten código arbitrario subiendo un archivo con una extensión ejecutable.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/03/2018

Vulnerabilidad en Thycotic Secret Server (CVE-2014-4861)
Fecha de publicación:
09/03/2018
Idioma:
Español
Remote Desktop Launcher en Thycotic Secret Server, en versiones anteriores a la 8.6.000010, no limpia correctamente un archivo temporal que contiene una contraseña cifrada una vez ha terminado una sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/03/2018

Vulnerabilidad en Django (CVE-2018-7536)
Fecha de publicación:
09/03/2018
Idioma:
Español
Se ha descubierto un problema en Django, en versiones 2.0 anteriores a la 2.0.3; versiones 1.11 anteriores a la 1.11.11 y versiones 1.8 anteriores a la 1.8.19. La función django.utils.html.urlize() fue extremadamente lenta a la hora de evaluar ciertas entradas debido a vulnerabilidades catastróficas de búsqueda hacia atrás en dos expresiones regulares (solo una en el caso de las versiones 1.8.x de Django). La función urlize() se emplea para implementar las plantillas de filtro urlize y urlizetrunc que, por lo tanto, eran vulnerables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/12/2023

Vulnerabilidad en Softing FG-100 PB PROFIBUS (CVE-2014-6617)
Fecha de publicación:
09/03/2018
Idioma:
Español
Softing FG-100 PB PROFIBUS, con firmware versión FG-x00-PB_V2.02.0.00, contiene una contraseña embebida para la cuenta root, lo que permite que atacantes remotos obtengan acceso administrativo mediante una sesión TELNET.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2018

Vulnerabilidad en JBoss RESTEasy (CVE-2016-9606)
Fecha de publicación:
09/03/2018
Idioma:
Español
JBoss RESTEasy, en versiones anteriores a la 3.1.2, podría ser forzado a analizar una petición con YamlProvider, lo que resulta en la deserialización de datos potencialmente no fiables. Esto podría permitir que un atacante ejecute código arbitrario con permisos de aplicación RESTEasy.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2018

Vulnerabilidad en Django (CVE-2018-7537)
Fecha de publicación:
09/03/2018
Idioma:
Español
Se ha descubierto un problema en Django, en versiones 2.0 anteriores a la 2.0.3; versiones 1.11 anteriores a la 1.11.11 y versiones 1.8 anteriores a la 1.8.19. Si los métodos de django.utils.text.Truncator chars() y words() se pasaban al argumento html=True, eran extremadamente lentos a la hora de evaluar ciertas entradas debido a una vulnerabilidad catastrófica de búsqueda hacia atrás en una expresión regular. Los métodos chars() y words() se emplean para implementar las plantillas de filtro truncatechars_html y truncatewords_html que, por lo tanto, eran vulnerables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/02/2019

Vulnerabilidad en JasPer (CVE-2016-9591)
Fecha de publicación:
09/03/2018
Idioma:
Español
JasPer, en versiones anteriores a la 2.0.12, es vulnerable a un uso de memoria previamente liberada en la forma en la que descifra ciertos archivos de imagen JPEG 2000. Esto resulta en un cierre inesperado de la aplicación que esté usando JasPer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades