Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2012-2599
Fecha de publicación:
20/02/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2012-3835. Reason: This issue was MERGED into CVE-2012-3835 in accordance with CVE content decisions, because it is the same type of vulnerability and affects the same versions. Notes: All CVE users should reference CVE-2012-3835 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en valor de slot en la función btrfs_ioctl_space_info en el kernel de Linux (CVE-2011-0699)
Fecha de publicación:
20/02/2020
Idioma:
Español
Un error en la propiedad signedness de enteros en la función btrfs_ioctl_space_info en el kernel de Linux versión 2.6.37, permite a usuarios locales causar una denegación de servicio (desbordamiento de búfer basado en la región heap de la memoria) o posiblemente tener otro impacto no especificado por medio de un valor de slot diseñado.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2024

Vulnerabilidad en el parámetro link, logo.link, o aboutlink, o en un nombre de esquema de URI anidado en javascript, asfunction o vbscript en LongTail Video JW Player (CVE-2012-3351)
Fecha de publicación:
20/02/2020
Idioma:
Español
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en LongTail Video JW Player versiones hasta 5.10.2295, permite a atacantes remotos inyectar script web o HTML arbitrario, por medio del parámetro (1) link, (2) logo.link, o (3) aboutlink, o un nombre de esquema de URI anidado en (4) javascript, (5) asfunction o (6) vbscript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en el acceso a /proc/interrupts en el archivo fs/proc/base.c en el kernel de Linux (CVE-2011-4915)
Fecha de publicación:
20/02/2020
Idioma:
Español
El archivo fs/proc/base.c en el kernel de Linux versiones hasta 3.1, permite a usuarios locales obtener información confidencial de pulsaciones de teclas por medio del acceso a /proc/interrupts.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en la base de datos del back-end en IBM Emptoris Spend Analysis e IBM Emptoris Strategic Supply Management Platform (CVE-2019-4752)
Fecha de publicación:
20/02/2020
Idioma:
Español
IBM Emptoris Spend Analysis e IBM Emptoris Strategic Supply Management Platform versiones 10.1.0.x, 10.1.1.x y 10.1.3.x, son vulnerables a una inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, lo que podría permitir a un atacante visualizar, agregar, modificar o eliminar información en la base de datos del back-end. ID de IBM X-Force: 173348.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/02/2020

Vulnerabilidad en una cadena en el método Moped::BSON::ObjecId.legal? en rubygem-moped (CVE-2015-4410)
Fecha de publicación:
20/02/2020
Idioma:
Español
El método Moped::BSON::ObjecId.legal? en rubygem-moped antes del commit dd5a7c14b5d2e466f7875d079af71ad19774609b, permite a atacantes remotos causar una denegación de servicio (consumo de recursos de worker) o llevar a cabo un ataque de tipo cross-site scripting (XSS) por medio de una cadena diseñada.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/02/2020

Vulnerabilidad en una cadena en el método Moped::BSON::ObjecId.legal? en mongodb/bson-ruby, usado en rubygem-moped (CVE-2015-4411)
Fecha de publicación:
20/02/2020
Idioma:
Español
El método Moped::BSON::ObjecId.legal? en mongodb/bson-ruby, versiones anteriores a 3.0.4, como es usado en rubygem-moped, permite a atacantes remotos causar una denegación de servicio (consumo de recursos de worker) por medio de una cadena diseñada. NOTA: Este problema es debido a una corrección incompleta de CVE-2015-4410.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/02/2020

Vulnerabilidad en un rastro de la pila en IBM Maximo Asset Management (CVE-2019-4583)
Fecha de publicación:
20/02/2020
Idioma:
Español
IBM Maximo Asset Management versiones 7.6.0.10 y 7.6.1.1, podría permitir a un usuario autenticado obtener información confidencial a partir de un rastro de la pila que podría ser usado para ayudar en futuros ataques. ID de IBM X-Force: 167289.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en un separador %2f en la codificación de URL en el módulo CGIHTTPServer en Python (CVE-2014-4650)
Fecha de publicación:
20/02/2020
Idioma:
Español
El módulo CGIHTTPServer en Python versiones 2.7.5 y 3.3.4, no maneja apropiadamente las URL en las que la codificación de URL es usada para los separadores de ruta, lo que permite a atacantes remotos leer el código fuente del script o conducir un salto de directorio y ejecutar código no deseado por medio de una secuencia de caracteres diseñada, como es demostrado mediante un separador %2f.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/06/2022

CVE-2013-7109
Fecha de publicación:
20/02/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en los encabezados de archivo tar en el puente de depuración de Android (CVE-2014-7951)
Fecha de publicación:
20/02/2020
Idioma:
Español
Una vulnerabilidad en Salto de Directorio en el puente de depuración de Android (también se conoce como adb) en Android versión 4.0.4, permite a atacantes físicamente próximos, con una conexión directa al dispositivo Android de destino, escribir en archivos arbitrarios propiedad del sistema por medio de un .. (punto punto) en los encabezados de archivo tar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo Origin.exe en la función WriteFileEx() en la tubería llamada OriginClientService en la DACL de directorios en Electronic Arts Origin (CVE-2019-19741)
Fecha de publicación:
20/02/2020
Idioma:
Español
Electronic Arts Origin versión 10.5.55.33574, es vulnerable a una escalada de privilegios local debido a una manipulación arbitraria de la DACL de directorios, un problema diferente de CVE-2019-19247 y CVE-2019-19248. Cuando el archivo Origin.exe se conecta a la tubería llamada OriginClientService, el servicio privilegiado verifica el archivo ejecutable del cliente en lugar de su proceso en memoria (que puede ser significativamente diferente del archivo ejecutable debido, por ejemplo, a una inyección de DLL). Los datos transmitidos por medio de la tubería son cifrados usando una clave estática. En lugar de enganchar la comunicación de la tubería directamente por medio de la función WriteFileEx(), esto puede ser omitido enganchando la función EVP_EncryptUpdate() de la biblioteca libeay32.dll. La tubería toma el comando CreateDirectory para crear un directorio y ajustar la DACL del directorio. Las llamadas a esta función pueden ser interceptadas, el directorio y la DACL pueden ser reemplazadas y la DACL manipulada es escrita. La escritura arbitraria de la DACL es lograda aún más mediante la creación de un enlace físico en un directorio controlado por el usuario que apunta (por ejemplo) a un binario de servicio. La DACL es entonces escrita en este binario de servicio, lo que resulta en una escalada de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades