Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en El plugin wp-private-content-plus (CVE-2019-15816)
Fecha de publicación:
30/08/2019
Idioma:
Español
El plugin wp-private-content-plus anterior a la versión 2.0 para WordPress no tiene protección contra los cambios de opción a través save_settings_page and other save_ functions.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en El plugin nd-restaurant-reservations (CVE-2019-15819)
Fecha de publicación:
30/08/2019
Idioma:
Español
El plugin nd-restaurant-reservations anterior de la versión 1.5 para WordPress no tiene ningún requisito para la autenticación nd_rst_import_settings_php_function.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en El plugin bold-page-builder (CVE-2019-15821)
Fecha de publicación:
30/08/2019
Idioma:
Español
El plugin bold-page-builder anterior de la versión 2.3.2 para WordPress no tiene protección contra la modificación de configuraciones e importación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en El plugin wps-hide-login (CVE-2019-15823)
Fecha de publicación:
30/08/2019
Idioma:
Español
El plugin wps-hide-login anterior a la versión 1.5.3 para WordPress tiene un bypass de protección acción = confirmación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en El plugin wps-hide-login (CVE-2019-15824)
Fecha de publicación:
30/08/2019
Idioma:
Español
El plugin wps-hide-login anterior a la versión 1.5.3 para WordPress tiene un bypass de protección adminhash.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en El complemento wps-hide-login (CVE-2019-15825)
Fecha de publicación:
30/08/2019
Idioma:
Español
El complemento wps-hide-login antes de 1.5.3 para WordPress tiene una acción = rp & key & bypass de protección de inicio de sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en los dispositivos ONKYO TX-NR686 1030-5000-1040-0010 A/V Receiver (CVE-2019-6113)
Fecha de publicación:
30/08/2019
Idioma:
Español
Una vulnerabilidad de salto de directorio en dispositivos ONKYO TX-NR686 1030-5000-1040-0010 A/V Receiver, permite a atacantes remotos leer archivos arbitrarios por medio de un .. (punto punto) y %2f en el URI predeterminado.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/09/2019

Vulnerabilidad en el controlador del kernel para /dev/midistat en FreeBSD (CVE-2019-5612)
Fecha de publicación:
30/08/2019
Idioma:
Español
En FreeBSD versión 12.0-STABLE anterior a r351264, versión 12.0-RELEASE anterior a 12.0-RELEASE-p10, versión 11.3-STABLE anterior a r351265, versión 11.3-RELEASE anterior a 11.3-RELEASE-p3, y versión 11.2-RELEASE anterior a 11.2-RELEASE-p14, el controlador del kernel para /dev/midistat implementa un manejador de lectura que no es un hilo (subproceso) seguro. Un programa multihilo puede explotar las carreras en el manejador para copiar fuera de la memoria del kernel, fuera de límites del búfer de datos de midistat.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/01/2023

Vulnerabilidad en el REST API en Management Center (MC) (CVE-2019-9697)
Fecha de publicación:
30/08/2019
Idioma:
Español
Una vulnerabilidad de divulgación de información en la Management Center (MC) REST API versiones 2.0, 2.1 y versiones 2.2 anteriores a 2.2.2.1, permite a un usuario autenticado malicioso obtener contraseñas para una copia de seguridad externa y servidores de importación de políticas de CPL a los que de otro modo no estarían autorizados a acceder.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en un comando de la CLI dentro del contexto local-mgmt en Cisco UCS Fabric Interconnect Software. (CVE-2019-1966)
Fecha de publicación:
30/08/2019
Idioma:
Español
Una vulnerabilidad en un comando de la CLI específico dentro del contexto de administración local (local-mgmt) para Cisco UCS Fabric Interconnect Software, podría permitir a un atacante autenticado local, alcanzar privilegios elevados como el usuario root en un dispositivo afectado. La vulnerabilidad es debido a opciones de subcomando extrañas presentes para un comando de la CLI específico dentro del contexto local-mgmt. Un atacante podría explotar esta vulnerabilidad identificandose en un dispositivo afectado, ingresando al contexto local-mgmt y emitiendo un comando de la CLI específico y enviando una entrada de usuario. Un explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios del sistema operativo como root en un dispositivo afectado. El atacante necesitaría tener credenciales de usuario válidas para el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en la funcionalidad Network Time Protocol (NTP) de Cisco NX-OS Software (CVE-2019-1967)
Fecha de publicación:
30/08/2019
Idioma:
Español
Una vulnerabilidad en la funcionalidad Network Time Protocol (NTP) de Cisco NX-OS Software, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido al uso excesivo de los recursos del sistema cuando el dispositivo afectado está registrando una acción de caída para los paquetes NTP MODE_PRIVATE (Modo 7) recibidos. Un atacante podría explotar esta vulnerabilidad inundando el dispositivo con un flujo constante de paquetes NTP de Modo 7. Una explotación con éxito podría permitir al atacante causar un uso elevado de CPU y memoria en el dispositivo afectado, lo que podría causar que los procesos internos del sistema se reinicien o causar que el dispositivo afectado se recargue inesperadamente. Nota: La funcionalidad NTP está habilitada por defecto.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en la funcionalidad NX-API de Cisco NX-OS Software (CVE-2019-1968)
Fecha de publicación:
30/08/2019
Idioma:
Español
Una vulnerabilidad en la funcionalidad NX-API de Cisco NX-OS Software, podría permitir a un atacante remoto no autenticado causar que un proceso del sistema NX-API se reinicie inesperadamente. La vulnerabilidad es debido a una comprobación incorrecta del encabezado HTTP de una petición que se envía a NX-API. Un atacante podría explotar esta vulnerabilidad enviando una petición HTTP especialmente diseñada a NX-API en un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar una condición de denegación de servicio (DoS) en el servicio NX-API; sin embargo, el dispositivo NX-OS en sí todavía estaría disponible y pasando el tráfico de red. Nota: La funcionalidad NX-API está deshabilitada por defecto.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020
Suscribirse a Vulnerabilidades