Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el gadget xalan JNDI en conjunto con métodos de manejo de tipos polimórficos en FasterXML jackson-databind (CVE-2019-14893)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un fallo en FasterXML jackson-databind en todas las versiones anteriores a 2.9.10 y 2.10.0, donde permitiría la deserialización polimórfica de objetos maliciosos usando el gadget xalan JNDI cuando se utiliza en conjunto con métodos de manejo de tipos polimórficos como "enableDefaultTyping()" o cuando @JsonTypeInfo está usando "Id.CLASS" o "Id.MINIMAL_CLASS" o de cualquier otra manera en que ObjectMapper.readValue pueda crear instancias de objetos de fuentes no seguras. Un atacante podría usar este fallo para ejecutar código arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo ".php" con el Content-Type application/x-php en el URI accidents_add.php?submit=1 en Fleetco Fleet Maintenance Management (FMM) (CVE-2018-19798)
Fecha de publicación:
02/03/2020
Idioma:
Español
Fleetco Fleet Maintenance Management (FMM) versiones 1.2 y anteriores, permiten cargar un archivo ".php" arbitrario con el Content-Type application/x-php en el URI accidents_add.php?submit=1, como es demostrado por el campo value_Images_1, que conlleva a una ejecución de comandos remota en el servidor remoto. Cualquier usuario autenticado puede explotar esto.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2020

Vulnerabilidad en un archivo de mapa especial en Ken Silverman Build Engine (CVE-2018-20343)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se han encontrado múltiples vulnerabilidades de desbordamiento del búfer en Ken Silverman Build Engine versión 1. Un atacante podría diseñar un archivo de mapa especial para ejecutar código arbitrario cuando el archivo de mapa es cargado.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2020

Vulnerabilidad en el archivo api.php/List/index en parámetro order en PbootCMS (CVE-2018-16356)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un problema en PbootCMS. Se presenta una inyección SQL por medio del parámetro order en el archivo api.php/List/index
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/03/2020

Vulnerabilidad en el módulo Write Data en InfluxDB (CVE-2018-17572)
Fecha de publicación:
02/03/2020
Idioma:
Español
InfluxDB versión 0.9.5, presenta una vulnerabilidad de tipo XSS Reflejado en el módulo Write Data.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2020

Vulnerabilidad en el archivo api.php/Cms/search en el parámetro order en PbootCMS (CVE-2018-16357)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un problema en PbootCMS. Se presenta una inyección SQL por medio del parámetro order en el archivo api.php/Cms/search.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2020

CVE-2018-18479
Fecha de publicación:
02/03/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2018-19284
Fecha de publicación:
02/03/2020
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en YXBJ (CVE-2018-19658)
Fecha de publicación:
02/03/2020
Idioma:
Español
El editor de Markdown en YXBJ en versiones anteriores a la 8.3.2 en macOS ha almacenado XSS. Este comportamiento puede ser encontrado por algunos usuarios de Evernote; sin embargo, es una vulnerabilidad en YXBJ, no una vulnerabilidad en Evernote.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2021

Vulnerabilidad en el URI admin/index.php?id=filesmanager&path=uploads/ en Monstra CMS (CVE-2018-19599)
Fecha de publicación:
02/03/2020
Idioma:
Español
Monstra CMS versión 1.6, permite un ataque de tipo XSS por medio de un documento SVG cargado en el URI admin/index.php?id=filesmanager&path=uploads/. NOTA: este es un producto descontinuado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2020

Vulnerabilidad en el archivo dev.htm en el parámetro GDN en los dispositivos EasyIO EasyIO-30P (CVE-2018-15820)
Fecha de publicación:
02/03/2020
Idioma:
Español
Los dispositivos EasyIO EasyIO-30P versiones anteriores a 2.0.5.27, permiten un ataque de tipo XSS por medio del parámetro GDN del archivo dev.htm.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2020

Vulnerabilidad en el archivo webuser.js en los dispositivos EasyIO EasyIO-30P (CVE-2018-15819)
Fecha de publicación:
02/03/2020
Idioma:
Español
Los dispositivos EasyIO EasyIO-30P versiones anteriores a 2.0.5.27, presentan un Control de Acceso Incorrecto, relacionado con el archivo webuser.js.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2020
Suscribirse a Vulnerabilidades