Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la cookie HTTP YII_CSRF_TOKEN o en ciertos parámetros en el archivo index.php en Open-School Community Edition (CVE-2014-9126)
Fecha de publicación:
08/02/2020
Idioma:
Español
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en Open-School Community Edition versión 2.2, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de la cookie HTTP YII_CSRF_TOKEN o los parámetros StudentDocument, StudentCategories, StudentPreviousDatas en el archivo index.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2020

Vulnerabilidad en el archivo Frontend/Modules/Search/Actions/Index.php en la función loadForm en el parámetro q_widget en en/search en Fork CMS (CVE-2014-9470)
Fecha de publicación:
08/02/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en la función loadForm en el archivo Frontend/Modules/Search/Actions/Index.php en Fork CMS versiones anteriores a 3.8.4, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro q_widget en en/search.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2020

Vulnerabilidad en el archivo wp-admin/admin-ajax.php en diversos parámetros en una acción addImages en el plugin Photo Gallery para WordPress (CVE-2015-1394)
Fecha de publicación:
08/02/2020
Idioma:
Español
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el plugin Photo Gallery versiones anteriores a 1.2.11 para WordPress, permiten a usuarios autenticados remotos inyectar script web o HTML arbitrario por medio de los parámetros (1) sort_by, (2) sort_order, (3) items_view, (4 ) dir, (5) clipboard_task, (6) clipboard_files, (7) clipboard_src o (8) clipboard_dest en una acción addImages en el archivo wp-admin/admin-ajax.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2020

Vulnerabilidad en el parámetro fileName en una operación copyfile o en una operación listdirectory en el servlet FailOverHelperServlet en ZOHO ManageEngine Applications Manager, OpManager e IT360 (CVE-2014-7863)
Fecha de publicación:
08/02/2020
Idioma:
Español
El servlet FailOverHelperServlet (también se conoce como FailServlet) en ZOHO ManageEngine Applications Manager versiones anteriores a 11.9 build 11912, OpManager versiones 8 hasta 11.5 build 11400 e IT360 versiones 10.5 y anteriores, no restringe el acceso apropiadamente, lo que permite a atacantes remotos y a usuarios autenticados remotos (1) leer archivos arbitrarios por medio del parámetro fileName en una operación copyfile u (2) obtener información confidencial por medio de un listado de directorio en una operación listdirectory en servlet/FailOverHelperServlet.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2020

Vulnerabilidad en la autenticación de administradores mediante diversos vectores en Ubiquiti Networks UniFi Controller (CVE-2014-2225)
Fecha de publicación:
08/02/2020
Idioma:
Español
Múltiples vulnerabilidades de tipo cross-site request forgery (CSRF) en Ubiquiti Networks UniFi Controller versiones anteriores a 3.2.1, permiten a atacantes remotos secuestrar la autenticación de administradores para peticiones que (1) crean un nuevo usuario administrador mediante una petición a api/add/admin; (2) tienen un impacto no especificado por medio de una petición a api/add/wlanconf; cambiar la (3) contraseña, (4) método de autenticación o (5) subredes restringidas del invitado mediante una petición a api/set/setting/guest_access; (6) bloquear, (7) desbloquear u (8) volver a conectar a usuarios por la dirección MAC mediante una petición a api/cmd/stamgr; cambie el (9) servidor o (10) el puerto del syslog por medio de una petición a api/set/setting/rsyslogd; (11) tener un impacto no especificado por medio de una petición a api/set/setting/smtp; cambie el (12) servidor, (13) puerto o (14) configuraciones de autenticación de syslog mediante una petición a api/cmd/cfgmgr; o (15) cambie el nombre del controlador Unifi por medio de una petición a api/set/setting/identity.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2020

Vulnerabilidad en la directiva de configuración del plugin en Flowplayer Flash usado en la extensión News system (news) para TYPO3 y Mahara (CVE-2011-3642)
Fecha de publicación:
08/02/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en Flowplayer Flash versiones 3.2.7 hasta 3.2.16, como es usado en la extensión News system (news) para TYPO3 y Mahara, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de la directiva de configuración del plugin en una referencia a un plugin de dominio externo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2024

Vulnerabilidad en los archivos principales en Apport (CVE-2019-11482)
Fecha de publicación:
08/02/2020
Idioma:
Español
Sander Bos detectó una vulnerabilidad de tiempo de comprobación a tiempo de uso (TOCTTOU) en Apport que permitía al usuario causar que los archivos principales se escribieran en directorios arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2020

Vulnerabilidad en los vertederos accidentales procedentes de contenedores en Apport (CVE-2019-11483)
Fecha de publicación:
08/02/2020
Idioma:
Español
Sander Bos detectó que Apport manejó inapropiadamente los vertederos accidentales procedentes de contenedores. Esto podría ser utilizado por un atacante local para generar un reporte de bloqueo para un proceso privilegiado que pueda ser leído por un usuario no privilegiado.
Gravedad CVSS v3.1: BAJA
Última modificación:
24/08/2020

Vulnerabilidad en bson_ensure_space usado en whoopsie (CVE-2019-11484)
Fecha de publicación:
08/02/2020
Idioma:
Español
Kevin Backhouse detectó un desbordamiento de enteros en bson_ensure_space, como es usado en whoopsie.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2023

Vulnerabilidad en el archivo de bloqueo de Apport (CVE-2019-11485)
Fecha de publicación:
08/02/2020
Idioma:
Español
Sander Bos detectó que el archivo de bloqueo de Apport estaba en un directorio de tipo world-writable que permitía a todos los usuarios impedir el manejo de bloqueos.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/01/2022

Vulnerabilidad en un archivo de configuración en Apport (CVE-2019-11481)
Fecha de publicación:
08/02/2020
Idioma:
Español
Kevin Backhouse detectó que Apport leería un archivo de configuración suministrado por el usuario con privilegios elevados. Al reemplazar el archivo por un enlace simbólico, un usuario podría lograr que Apport lea cualquier archivo sobre el sistema como root, con consecuencias desconocidas.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2023

Vulnerabilidad en el análisis de archivos DXF en instalaciones afectadas de Foxit PhantomPDF (CVE-2019-17135)
Fecha de publicación:
08/02/2020
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario sobre instalaciones afectadas de Foxit PhantomPDF 9.5.0.20723. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. Se presenta un fallo específico dentro del análisis de archivos DXF. El problema resulta de la falta de una comprobación apropiada de los datos suministrados por parte del usuario, lo que puede resultar en una condición de corrupción de memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-8775.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2020
Suscribirse a Vulnerabilidades