Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Chartkick.js, usado en la gema Chartkick para Ruby (CVE-2019-18841)
Fecha de publicación:
11/11/2019
Idioma:
Español
Chartkick.js versiones 3.1.0 hasta 3.1.3, como es usado en la gema Chartkick versiones anteriores a 3.3.0 para Ruby, permite la contaminación del prototipo.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en las funciones ZwOpenSection y ZwMapViewOfSection en los controladores MsIo64.sys y MsIo32.sys en Patriot Viper RGB (CVE-2019-18845)
Fecha de publicación:
09/11/2019
Idioma:
Español
Los controladores MsIo64.sys y MsIo32.sys en Patriot Viper RGB versiones anteriores a 1.1, permiten a usuarios locales (incluyendo procesos de baja integridad) leer y escribir en ubicaciones de memoria arbitrarias y, en consecuencia, alcanzar privilegios NT AUTHORITY\SYSTEM, mediante la asignación de \Device\PhysicalMemory en el proceso de llamada por medio de las funciones ZwOpenSection y ZwMapViewOfSection.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2020

Vulnerabilidad en la estructura de DecodedCert en GetName en el archivo wolfcrypt/src/asn.c en el análisis de los datos del certificado ASN.1 en wolfSSL (CVE-2019-18840)
Fecha de publicación:
09/11/2019
Idioma:
Español
En wolfSSL versiones 4.1.0 hasta 4.2.0c, faltan comprobaciones de saneamiento de los accesos a la memoria en el análisis de los datos del certificado ASN.1 durante el protocolo de enlace. Específicamente, se presenta un desbordamiento de búfer en la región heap de la memoria por un byte dentro de la estructura de DecodedCert en GetName en el archivo wolfcrypt/src/asn.c porque el índice de ubicación del nombre de dominio es manejado inapropiadamente. Debido a que un puntero es sobrescrito, se presenta una liberación no válida.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2019

Vulnerabilidad en el mecanismo Digest-MD5 en qpid-cpp (CVE-2009-5004)
Fecha de publicación:
09/11/2019
Idioma:
Español
qpid-cpp versión 1.0, se bloquea cuando un mensaje largo se envía y está en uso el mecanismo Digest-MD5 con una capa de seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en el certificado SSL en la interfaz Red Hat Enterprise Virtualization Manager del lado del cliente en RHEV-M VDC (CVE-2009-3552)
Fecha de publicación:
09/11/2019
Idioma:
Español
En RHEV-M VDC versión 2.2.0, se detectó que el certificado SSL no fue comprobado cuando se usaba la interfaz Red Hat Enterprise Virtualization Manager del lado del cliente (una aplicación de navegador XAML de Windows Presentation Foundation (WPF)) para conectar con el Red Hat Enterprise Virtualization Manager. Un atacante en la red local podría utilizar este fallo para conducir un ataque de tipo man-in-the-middle, engañando al usuario para que piense que está visualizando el Red Hat Enterprise Virtualization Manager cuando el contenido está realmente controlado por el atacante, o modificando acciones que un usuario solicitó a Red Hat Enterprise Virtualization Manager realizar.
Gravedad CVSS v3.1: BAJA
Última modificación:
21/11/2024

Vulnerabilidad en el sistema local en liboping (CVE-2009-3614)
Fecha de publicación:
09/11/2019
Idioma:
Español
liboping versión 1.3.2, permite a usuarios leer archivos arbitrarios en el sistema local.
Gravedad CVSS v3.1: BAJA
Última modificación:
21/11/2024

Vulnerabilidad en los archivos adjuntos y los tipos MIME en MantisBT (CVE-2009-2802)
Fecha de publicación:
09/11/2019
Idioma:
Español
MantisBT versiones 1.2.x anteriores a 1.2.2, maneja de manera no segura los archivos adjuntos y los tipos MIME. Una renderización arbitraria de archivos adjuntos en línea podría conllevar a un ataque de tipo cross-domain scripting u otros ataques del navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en una consola VPS en dtc-xen (CVE-2009-4011)
Fecha de publicación:
09/11/2019
Idioma:
Español
dtc-xen versiones 0.5.x anteriores a 0.5.4, sufre de una condición de carrera donde un atacante podría obtener potencialmente un acceso bash como un usuario de xenXX en dom0, y luego acceder a una consola VPS ya abierta potencialmente reutilizable.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2024

Vulnerabilidad en los scripts /usr/bin/alsa-info y /usr/bin/alsa-info.sh en alsa-utils (CVE-2009-0035)
Fecha de publicación:
09/11/2019
Idioma:
Español
alsa-utils versiones 1.0.19 y posteriores, permiten a usuarios locales sobrescribir archivos arbitrarios mediante un ataque de tipo symlink por medio de los scripts /usr/bin/alsa-info y /usr/bin/alsa-info.sh.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en un valor de índice de entrada en el plugin vGPU en NVIDIA Virtual GPU Manager (CVE-2019-5698)
Fecha de publicación:
09/11/2019
Idioma:
Español
NVIDIA Virtual GPU Manager, todas las versiones, contiene una vulnerabilidad en el plugin vGPU, donde un valor de índice de entrada se comprueba incorrectamente, lo que puede conllevar a una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en NVIDIA GeForce Experience (CVE-2019-5701)
Fecha de publicación:
09/11/2019
Idioma:
Español
NVIDIA GeForce Experience, todas las versiones anteriores a la versión 3.20.0.118, contiene una vulnerabilidad cuando GameStream está habilitado en el que un atacante con acceso al sistema local puede cargar las DLL del controlador de gráficos Intel sin validar la ruta o la firma (también conocida como plantación binaria o precarga de DLL ataque), que puede conducir a la denegación de servicio, divulgación de información o escalada de privilegios a través de la ejecución del código.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en la Interfaz de Usuario Web en IBM Qradar (CVE-2019-4454)
Fecha de publicación:
09/11/2019
Idioma:
Español
IBM QRadar versiones 7.3.0 hasta 7.3.2 Parche 4, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 163618.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2019
Suscribirse a Vulnerabilidades