Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un documento XML en la función report print del visualizador de rexpert en ClipSoft REXPERT. (CVE-2019-17323)

Fecha de publicación:
30/10/2019
Idioma:
Español
ClipSoft REXPERT versiones 1.0.0.527 y anteriores, permiten la creación y ejecución de archivos arbitrarios por medio de la función report print del visualizador rexpert con documento XML modificado. Una interacción del usuario es requerida para explotar esta vulnerabilidad, en la que el objetivo necesita visitar una página web maliciosa.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/11/2019

Vulnerabilidad en la ruta del archivo de sesión de los datos de la respuesta HTTP en ClipSoft REXPERT. (CVE-2019-17321)

Fecha de publicación:
30/10/2019
Idioma:
Español
ClipSoft REXPERT versiones 1.0.0.527 y anteriores, presenta un problema de divulgación de información. Cuando se solicita una página web asociada con la sesión, podría filtrarse el nombre de usuario por medio de la ruta del archivo de sesión de los datos de la respuesta HTTP. No es requerida una autenticación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/11/2019

Vulnerabilidad en la interfaz web en los sistemas Hunt CCTV, Capture CCTV, Hachi CCTV, NoVus CCTV y Well-Vision Inc DVR. (CVE-2013-1391)

Fecha de publicación:
30/10/2019
Idioma:
Español
La vulnerabilidad de omisión de autenticación en la interfaz web en los sistemas Hunt CCTV, Capture CCTV, Hachi CCTV, NoVus CCTV y Well-Vision Inc DVR, permite a un atacante remoto recuperar la configuración del dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/11/2019

Vulnerabilidad en una petición POST en ClipSoft REXPERT. (CVE-2019-17322)

Fecha de publicación:
30/10/2019
Idioma:
Español
ClipSoft REXPERT versiones 1.0.0.527 y anteriores, permiten la creación de archivos arbitrarios por medio de una petición POST con el parámetro establecido en la ruta del archivo a ser escrito. Este puede ser un archivo ejecutable en el que es escrito en el directorio arbitrario. Una interacción del usuario es requerida para explotar esta vulnerabilidad, en la que el objetivo necesita visitar una página web maliciosa.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2021

Vulnerabilidad en los objetos de flujo PDF de JBIG2 en xpdf. (CVE-2010-0206)

Fecha de publicación:
30/10/2019
Idioma:
Español
xpdf, permite a atacantes remotos causar una denegación de servicio (desreferencia del puntero NULL y bloqueo) en la manera en que se procesan los objetos de flujo PDF de JBIG2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en visualizadores de PDF basados ??en xpdf. (CVE-2010-0207)

Fecha de publicación:
30/10/2019
Idioma:
Español
En xpdf, la tabla xref contiene un bucle infinito el cual permite a atacantes remotos causar una denegación de servicio (bloqueo de aplicación) en visualizadores de PDF basados ??en xpdf.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en el campo Title en el InfoBusiness Web Component en la página reports en Zucchetti InfoBusiness (CVE-2019-18207)

Fecha de publicación:
30/10/2019
Idioma:
Español
En Zucchetti InfoBusiness versiones anteriores a 4.4.1 incluyéndola, un usuario autenticado puede inyectar código del lado del cliente debido a una comprobación inapropiada del campo Title en el InfoBusiness Web Component. La carga útil será activada cada vez que un usuario navegue en la página reports.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/11/2019

Vulnerabilidad en archivos .php en Zucchetti InfoBusiness. (CVE-2019-18204)

Fecha de publicación:
30/10/2019
Idioma:
Español
Zucchetti InfoBusiness versiones anteriores a 4.4.1 incluyéndola, permite a cualquier usuario autenticado cargar archivos .php para lograr la ejecución de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/11/2019

Vulnerabilidad en la funcionalidad search para el parámetro searchKey (CVE-2019-18205)

Fecha de publicación:
30/10/2019
Idioma:
Español
Existen múltiples vulnerabilidades de tipo Cross-site Scripting (XSS) Reflejado en Zucchetti InfoBusiness versiones anteriores a 4.4.1 incluyéndola. El componente de navegación no sanea apropiadamente la entrada del usuario (codificada en base64). Esto también aplica para la funcionalidad search para el parámetro searchKey.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/11/2019

Vulnerabilidad en Zucchetti InfoBusiness. (CVE-2019-18206)

Fecha de publicación:
30/10/2019
Idioma:
Español
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Zucchetti InfoBusiness versiones anteriores a 4.4.1 incluyéndola, permite la carga arbitraria de archivos.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/11/2019

Vulnerabilidad en el archivo adm/boardgroup_form_update.php (CVE-2018-18678)

Fecha de publicación:
30/10/2019
Idioma:
Español
GNUBOARD5 versiones anteriores a la verisón 5.3.2.0, tiene una vulnerabilidad de tipo XSS que permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro "board group extra contents", también se conoce como el parámetro gr_1 ~ 10 del archivo adm/boardgroup_form_update.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2024

Vulnerabilidad en Aruba Instant. (CVE-2018-16417)

Fecha de publicación:
30/10/2019
Idioma:
Español
Aruba Instant versiones 4.x anteriores a la versión 6.4.4.8-4.2.4.12, versiones 6.5.x anteriores a la versión 6.5.4.11, versiones 8.3.x anteriores a 8.3.0.6 y versiones 8.4.x anteriores a la versión 8.4.0.1, permite una Inyección de Comandos.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020