Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los múltiples conjuntos de credenciales embebidas en Medtronic Valleylab Exchange Client, Valleylab FT10 Energy Platform y Valleylab FX8 Energy Platform (CVE-2019-13543)

Fecha de publicación:
08/11/2019
Idioma:
Español
Medtronic Valleylab Exchange Client versión 3.4 y anteriores, Valleylab FT10 Energy Platform (VLFT10GEN) versión de software 4.0.0 y anteriores, y Valleylab FX8 Energy Platform (VLFX8GEN) versión 1.1.0 y anteriores, utilizan múltiples conjuntos de credenciales embebidas. Si se descubren, se pueden utilizar para leer archivos en el dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2025

Vulnerabilidad en la comprobación de entrada en el producto ZTE ZXUPN-9000E (CVE-2019-3426)

Fecha de publicación:
08/11/2019
Idioma:
Español
La versión 9000EV5.0R1B12 y todas las versiones anteriores del producto ZTE ZXUPN-9000E, están afectadas por la vulnerabilidad de comprobación de entrada. Un atacante podría explotar esta vulnerabilidad para operaciones no autorizadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/11/2019

Vulnerabilidad en la memoria no inicializada en Apache Arrow en la implementación de C ++ (CVE-2019-12408)

Fecha de publicación:
08/11/2019
Idioma:
Español
Se detectó que la implementación de C ++ (que subyace a las implementaciones de R, Python y Ruby) de Apache Arrow versiones 0.14.0 hasta 0.14.1, presentó un bug de memoria no inicializada cuando se construyen matrices con valores nulos en algunos casos. Esto puede conllevar a que la memoria no inicializada se comparta involuntariamente si Matrices de Arrow son transmitidas mediante el cable (por ejemplo, con Flight) o si persistió el IPC de transmisión y los formatos de archivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la memoria datos en Apache Arrow en las implementaciones de C ++, Python, Ruby y R (CVE-2019-12410)

Fecha de publicación:
08/11/2019
Idioma:
Español
Durante la investigación de los errores de UBSAN en https://github.com/apache/arrow/pull/5365, se detectó que Apache Arrow versiones 0.12.0 hasta 0.14.1, la memoria datos de Arrow no se inicializó cuando se leen datos nulos RLE desde parquet. Esto afectó las implementaciones de C ++, Python, Ruby y R. La memoria no inicializada podría potencialmente ser compartida si es transmitida mediante el cable (por ejemplo, con Flight) o si persistió el IPC de transmisión y los formatos de archivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en los permisos y el control de acceso del producto ZTE ZXUPN-9000E (CVE-2019-3425)

Fecha de publicación:
08/11/2019
Idioma:
Español
La versión 9000EV5.0R1B12 y todas las versiones anteriores del producto ZTE ZXUPN-9000E están impactadas por una vulnerabilidad de los permisos y el control de acceso. Un atacante podría explotar esta vulnerabilidad para restablecer o cambiar directamente las contraseñas de otras cuentas.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en los parámetros de entrada en actualización del archivo de instalación en la página web de administración en JEUS 7 y JEUS 8 (CVE-2019-17327)

Fecha de publicación:
08/11/2019
Idioma:
Español
Las versiones JEUS 7 Fix#0~5 y JEUS 8 Fix#0~1, contienen una vulnerabilidad de salto de directorio causada por una comprobación inapropiada de los parámetros de entrada cuando se actualiza el archivo de instalación en la página web de administración. Esto conlleva al atacante remoto a ejecutar código arbitrario por medio del archivo cargado.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/11/2019

Vulnerabilidad en un enlace en el panel público en EnergyCAP (CVE-2019-18623)

Fecha de publicación:
08/11/2019
Idioma:
Español
Una escalada de privilegios en EnergyCAP versiones 7 hasta 7.5.6, permite a un atacante acceder a los datos. Si un usuario no autenticado hace clic sobre un enlace en el panel público, el recurso se abre en EnergyCAP con derechos de acceso que coinciden con el usuario que creó el panel.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/11/2019

Vulnerabilidad en un archivo CSV en el plugin codepress-admin-columns para WordPress (CVE-2019-17661)

Fecha de publicación:
08/11/2019
Idioma:
Español
Una inyección CSV en el plugin codepress-admin-columns (también se conoce como Admin Columns) versión 3.4.6 para WordPress, permite a usuarios maliciosos conseguir el control remoto de otras computadoras. Mediante la selección del código de la fórmula como su nombre o apellido, un atacante puede crear un usuario con un nombre que contenga código malicioso. Otros usuarios pueden descargar estos datos como un archivo CSV y corromper su PC abriéndolos en una herramienta como Microsoft Excel. El atacante podría conseguir acceso remoto a la PC del usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2024

Vulnerabilidad en un ID de sesión en el portal de SANnav en Brocade SANnav (CVE-2019-16205)

Fecha de publicación:
08/11/2019
Idioma:
Español
Una vulnerabilidad, en Brocade SANnav versiones anteriores a v2.0, podría permitir a atacantes remotos forzar mediante fuerza bruta un ID de sesión válido. La vulnerabilidad es debido a un ID de sesión insuficientemente aleatorio para varias acciones posteriores a la autenticación en el portal SANnav.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/11/2019

Vulnerabilidad en el algoritmo password-based encryption (PBE) de Brocade SANnav (CVE-2019-16208)

Fecha de publicación:
08/11/2019
Idioma:
Español
El algoritmo password-based encryption (PBE), de Brocade SANnav versiones anteriores a v2.0, presenta una debilidad en la generación de claves criptográficas que puede permitir a un atacante descifrar las contraseñas utilizadas con varios servicios (Radius, TACAS, etc.).
Gravedad CVSS v3.1: ALTA
Última modificación:
14/11/2019

Vulnerabilidad en la base de datos del back-end en Brocade SANnav (CVE-2019-16207)

Fecha de publicación:
08/11/2019
Idioma:
Español
Brocade SANnav versiones anteriores a v2.0, utilizan una contraseña embebida, lo que podría permitir a atacantes autenticados locales acceder a una base de datos del back-end y alcanzar privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/11/2019

Vulnerabilidad en la clase The ReportsTrustManager de Brocade SANnav (CVE-2019-16209)

Fecha de publicación:
08/11/2019
Idioma:
Español
Una vulnerabilidad, en la clase The ReportsTrustManager de Brocade SANnav versiones anteriores a v2.0, podría permitir a un atacante realizar un ataque man-in-the-middle contra conexiones Secure Sockets Layer (SSL).
Gravedad CVSS v3.1: ALTA
Última modificación:
09/11/2019