Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una deserialización no segura de mensajes XML en la extensión XStream en HP Fortify SCA (CVE-2014-2228)
Fecha de publicación:
19/02/2020
Idioma:
Español
La extensión XStream en HP Fortify SCA versiones anteriores a 2.2 RC3, permite a atacantes remotos ejecutar código arbitrario por medio de una deserialización no segura de mensajes XML.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2020

Vulnerabilidad en una extensión del filtro de terceros en la función add_post_var en el componente Posthandler en PHP (CVE-2014-3622)
Fecha de publicación:
19/02/2020
Idioma:
Español
Una vulnerabilidad de uso de la memoria previamente liberada en la función add_post_var en el componente Posthandler en PHP versiones 5.6.x anteriores a 5.6.1, podría permitir a atacantes remotos ejecutar código arbitrario al aprovechar una extensión del filtro de terceros que accede a un determinado valor de ksep.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/02/2020

Vulnerabilidad en las funciones SimpleXMLElement_exportNode y simplexml_import_dom en HHVM (CVE-2016-1000004)
Fecha de publicación:
19/02/2020
Idioma:
Español
Se emplearon verificaciones de tipo insuficientes antes de transmitir datos de entrada en SimpleXMLElement_exportNode y simplexml_import_dom. Este problema afecta a HHVM versiones anteriores a 3.9.5, todas las versiones entre 3.10.0 y 3.12.3 (inclusive), y todas las versiones entre 3.13.0 y 3.14.1 (inclusive).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/03/2020

Vulnerabilidad en la función mcrypt_get_block_size en el parámetro "module" en HHVM (CVE-2016-1000005)
Fecha de publicación:
19/02/2020
Idioma:
Español
La función mcrypt_get_block_size no aplicaba que el parámetro "module" provisto era una cadena, conllevando a una confusión de tipo si otros tipos de datos fueron pasados. Este problema afecta a HHVM versiones anteriores a 3.9.5, todas las versiones entre 3.10.0 y 3.12.3 (inclusive), y todas las versiones entre 3.13.0 y 3.14.1 (inclusive).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/03/2020

Vulnerabilidad en un encabezado Proxy en una petición HTTP en la variable de entorno HTTP_PROXY en HHVM de RFC 3875 section (CVE-2016-1000109)
Fecha de publicación:
19/02/2020
Idioma:
Español
HHVM no intenta abordar los conflictos de espacio de nombres de RFC 3875 section versión 4.1.18 y, por lo tanto, no protege las aplicaciones CGI de la presencia de datos de clientes no confiables en la variable de entorno HTTP_PROXY, lo que podría permitir a atacantes remotos redireccionar el tráfico HTTP saliente de una aplicación CGI hacia un servidor proxy arbitrario por medio de un encabezado Proxy diseñado en una petición HTTP, también se conoce como un problema "httpoxy". Este problema afecta a las versiones HHVM anteriores a 3.9.6, todas las versiones entre 3.10.0 y 3.12.4 (inclusive), y todas las versiones entre 3.13.0 y 3.14.2 (inclusive).
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2020

Vulnerabilidad en las funciones load y load_all en PyYAML (CVE-2019-20477)
Fecha de publicación:
19/02/2020
Idioma:
Español
PyYAML versiones 5.1 hasta 5.1.2, presenta restricciones insuficientes en las funciones load y load_all debido a un problema de deserialización de clase, por ejemplo, Popen es una clase en el módulo subprocess. NOTA: este problema se presenta debido a una corrección incompleta para el CVE-2017-18342.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en la función safe_load en el método de carga en ruamel.yaml (CVE-2019-20478)
Fecha de publicación:
19/02/2020
Idioma:
Español
En ruamel.yaml hasta las versiones 0.16.7, el método de carga permite una ejecución de código remota si la aplicación llama a este método con un argumento no confiable. En otras palabras, este problema afecta a desarrolladores que desconocen la necesidad de usar métodos como la función safe_load en estos casos de uso.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en un enlace malicioso en Cisco Unified Communications Manager (CVE-2015-0749)
Fecha de publicación:
19/02/2020
Idioma:
Español
Una vulnerabilidad en Cisco Unified Communications Manager, podría permitir a un atacante no autenticado remoto conducir un ataque de tipo cross-site scripting (XSS) en el software afectado. Estas vulnerabilidades son debido a la comprobación de entrada inapropiada de determinados parámetros pasados ??al software afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de seguir un enlace malicioso. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto del sitio afectado o permitir al atacante acceder a información confidencial basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/02/2020

Vulnerabilidad en el archivo console/websocketproxy.py en la función NovaProxyRequestHandlerBase.new_websocket_client en tokens consoleauth en OpenStack Nova (CVE-2015-9543)
Fecha de publicación:
19/02/2020
Idioma:
Español
Se detectó un problema en OpenStack Nova versiones anteriores a 18.2.4, versiones 19.x anteriores a 19.1.0 y versiones 20.x anteriores a 20.1.0. Puede filtrar tokens consoleauth en archivos de registro. Un atacante con acceso de lectura a los registros del servicio puede obtener tokens usados para el acceso a la consola. Todas las configuraciones de Nova que usan novncproxy están afectadas. Esto está relacionado con la función NovaProxyRequestHandlerBase.new_websocket_client en el archivo console/websocketproxy.py.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/02/2020

Vulnerabilidad en determinados parámetros en el cliente Cisco AnyConnect VPN en el Cisco ASA (CVE-2011-2054)
Fecha de publicación:
19/02/2020
Idioma:
Español
Una vulnerabilidad en el Cisco ASA , podría permitir a atacantes remotos una autenticación con éxito usando el cliente Cisco AnyConnect VPN si el tipo Secondary Authentication es LDAP y la contraseña se deja en blanco, siempre que las credenciales principales sean correctas. Estas vulnerabilidades son debido a una comprobación de entrada inapropiada de determinados parámetros pasados ??al software afectado. Un atacante debe tener las credenciales principales correctas a fin de explotar con éxito esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en PHOENIX CONTACT AXL F BK PN (CVE-2018-16994)
Fecha de publicación:
18/02/2020
Idioma:
Español
Se descubrió un problema en PHOENIX CONTACT AXL F BK PN anterior o igual 1.0.4, AXL F BK ETH anterior o igual 1.12 y dispositivos AXL F BK ETH XC anterior o igual 1.11 y Bosch Rexroth S20-ETH-BK y Rexroth S20-PN-BK + (los acopladores de bus de campo S20-PN-BK + / S20-ETH-BK vendidos por Bosch Rexroth contienen tecnología de Phoenix Contact). El manejo incorrecto de una solicitud con símbolos no estándar permite a los atacantes remotos iniciar un bloqueo completo del acoplador del bus. No se requiere autenticación de la solicitud.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en Zimbra Collaboration Suite (ZCS) (CVE-2020-8633)
Fecha de publicación:
18/02/2020
Idioma:
Español
Se detectó un problema en Zimbra Collaboration Suite (ZCS) versiones anteriores a 8.8.15 Patch 7. Cuando los otorgantes revocan un calendario compartido en Outlook, el calendario se mantuvo montado y accesible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2020
Suscribirse a Vulnerabilidades