Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una llamada de servicio de sistema en BlueStacks sobre macOS y Windows (CVE-2019-14220)
Fecha de publicación:
24/09/2019
Idioma:
Español
Se detectó un problema en BlueStacks versión 4.110 y posteriores sobre macOS y en versión 4.120 y posteriores sobre Windows. BlueStacks emplea Android que es ejecutado en una máquina virtual (VM) para permitir que las aplicaciones de Android se ejecuten en Windows o MacOS. El bug está en un archivo local arbitrario leído por medio de una llamada de servicio de sistema. El método afectado es ejecutado con privilegios administrativos System y, si se le da el nombre de archivo como parámetro, devuelve el contenido del archivo. Una aplicación maliciosa usando el método afectado puede entonces leer el contenido de cualquier archivo de sistema que no esté autorizado para leer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2021

Vulnerabilidad en el servicio HTTP vinculado a la red en la utilidad de administración de ONTAP Select Deploy (CVE-2019-5504)
Fecha de publicación:
24/09/2019
Idioma:
Español
La utilidad de administración de ONTAP Select Deploy, versiones 2.12 y 2.12.1, ensamblado con un servicio HTTP vinculado a la red permite a los atacantes remotos no autenticados realizar acciones administrativas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en las credenciales en la utilidad de administración ONTAP Select Deploy (CVE-2019-5505)
Fecha de publicación:
24/09/2019
Idioma:
Español
La utilidad de administración ONTAP Select Deploy versiones 2.2 hasta 2.12.1, transmite credenciales en texto plano.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo decode-ipv4.c en la función IPV4OptValidateTimestamp en Suricata (CVE-2019-16411)
Fecha de publicación:
24/09/2019
Idioma:
Español
Se detectó un problema en Suricata versión 4.1.4. Mediante el envío de múltiples paquetes IPv4 que tienen IPv4Options no válidas, la función IPV4OptValidateTimestamp en el archivo decode-ipv4.c, intenta acceder a una región de memoria que no está asignada. Se presenta una comprobación para o-)len( 5 (correspondiente a 2 bytes de encabezado y 3 bytes de datos). Luego, "flag = *(o-)data + 3)" se coloca uno más allá de los 3 bytes, porque en su lugar el código debería haber sido "flag = *(o-)data + 1)".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/10/2019

Vulnerabilidad en el archivo app-layer-ssl.c en la función TLSDecodeHSHelloExtensions en HSHelloExtensions en Suricata (CVE-2019-15699)
Fecha de publicación:
24/09/2019
Idioma:
Español
Se detectó un problema en el archivo app-layer-ssl.c en Suricata versión 4.1.4. Tras recibir un paquete SSLv3 (TLS 1.2) corrupto, la función de analizador TLSDecodeHSHelloExtensions intenta acceder a una región de memoria que no está asignada, porque la longitud esperada de HSHelloExtensions no coincide con la longitud real de la parte HSHelloExtensions del paquete.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/09/2019

Vulnerabilidad en la función lsi_execute_script() en el emulador del adaptador scsi de LSI en QEMU (CVE-2019-12068)
Fecha de publicación:
24/09/2019
Idioma:
Español
En QEMU versiones 1:4.1-1, 1:2.1+dfsg-12+deb8u6, 1:2.8+dfsg-6+deb9u8, 1:3.1+dfsg-8~deb10u1, 1:3.1+dfsg-8+deb10u2, y 1:2.1+dfsg-12+deb8u12 (corregida), cuando se ejecuta el script en la función lsi_execute_script(), el emulador del adaptador scsi de LSI avanza el índice "s-)dsp" para leer el próximo opcode. Esto puede conllevar a un bucle infinito si el siguiente opcode está vacío. Mueve la salida del bucle existente después de 10k iteraciones para que cubra también los opcodes no operativos.
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo defrag.c en la función Defrag4Reassemble en header_len en Suricata (CVE-2019-16410)
Fecha de publicación:
24/09/2019
Idioma:
Español
Se detectó un problema en Suricata versión 4.1.4. Mediante el envío de múltiples paquetes IPv4 fragmentados, la función Defrag4Reassemble en el archivo defrag.c intenta acceder a una región de memoria que no está asignada, debido a una falta de comprobación de header_len.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/10/2019

Vulnerabilidad en la protección FAC en los dispositivos NXP Kinetis KV1x, Kinetis KV3x y Kinetis K8x (CVE-2019-14239)
Fecha de publicación:
24/09/2019
Idioma:
Español
En los dispositivos NXP Kinetis KV1x, Kinetis KV3x y Kinetis K8x, Flash Access Controls (FAC) (un método de protección de IP de software para acceso solo de ejecución) pueden ser superados mediante el aprovechamiento de una instrucción de carga dentro de la región de solo ejecución para exponer el código protegido en un registro de la CPU.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/09/2019

Vulnerabilidad en el método fallback_render en el parámetro message en el controlador de devoluciones de llamada omniauth en Devise Token Auth (CVE-2019-16751)
Fecha de publicación:
24/09/2019
Idioma:
Español
Se detectó un problema en Devise Token Auth versiones hasta 1.1.2. El end point de fallo omniauth es vulnerable a Cross Site Scripting (XSS) Reflejado por medio del parámetro message. Los atacantes no autenticados pueden diseñar una URL que ejecute una carga útil de JavaScript maliciosa en el navegador de la víctima. Esto afecta el método fallback_render en el controlador de devoluciones de llamada omniauth.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/09/2019

Vulnerabilidad en la implementación MQTT-SN (asymcute) de RIOT (CVE-2019-16754)
Fecha de publicación:
24/09/2019
Idioma:
Español
RIOT versión 2019.07, contiene una desreferencia del puntero NULL en la implementación MQTT-SN (asymcute), lo que permite potencialmente a un atacante bloquear un nodo de red que ejecuta RIOT. Esto requiere falsificar una respuesta del servidor MQTT. Para hacerlo, el atacante necesita conocer el MsgID de MQTT de un mensaje de protocolo MQTT pendiente y el puerto efímero utilizado por la implementación MQTT de RIOT. Adicionalmente, es requerida la dirección IP del servidor para suplantar el paquete.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2020

Vulnerabilidad en la protección PCROP en los dispositivos STMicroelectronics STM32F7 (CVE-2019-14238)
Fecha de publicación:
24/09/2019
Idioma:
Español
En los dispositivos STMicroelectronics STM32F7, la Proprietary Code Read Out Protection (PCROP) (un método de protección IP de software) puede ser superada con una sonda de depuración por medio del bus Instruction Tightly Coupled Memory (ITCM).
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/09/2019

Vulnerabilidad en SICK FX0-GPNT00000 y FX0-GENT00000 (CVE-2019-14753)
Fecha de publicación:
24/09/2019
Idioma:
Español
Los dispositivos SICK FX0-GPNT00000 y FX0-GENT00000 hasta la versión 3.4.0 tienen un Desbordamiento de Búfer.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/09/2019
Suscribirse a Vulnerabilidades