Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la sección DOWNLOADS en la interfaz web en Central Control Server (CCS) (CVE-2019-19290)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en Control Center Server (CCS) (Todas las versiones anteriores a V1.5.0). La sección DESCARGAS de la interfaz web del Servidor de Control Center (CCS) contiene una vulnerabilidad de recorrido que podría permitir a un atacante remoto autenticado acceder y descargar archivos arbitrarios desde el servidor donde está instalado CCS
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2024

Vulnerabilidad en el servicio Central Control Server (CCS) y SiNVR/SiVMS Video Server (CVE-2019-19291)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en el Servidor del Centro de Control (CCS) (Todas las versiones anteriores a V1.5.0), el Servidor de Vídeo SiNVR/SiVMS (Todas las versiones anteriores a V5.0.0). Los servicios FTP del SiVMS/SiNVR Video Server y del Control Center Server (CCS) mantienen archivos de registro que almacenan las credenciales de inicio de sesión en texto claro. En las configuraciones en las que el servicio FTP está habilitado, los atacantes remotos autentificados podrían extraer las credenciales de inicio de sesión de otros usuarios del servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2024

Vulnerabilidad en protocolo de comunicación basado en XML en los puertos 5444/tcp y 5440/tcp en Control Center Server (CCS) (CVE-2019-19292)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en Control Center Server (CCS) (Todas las versiones anteriores a V1.5.0). El Servidor de Control Center (CCS) contiene una vulnerabilidad de inyección SQL en su protocolo de comunicación basado en XML tal y como se proporciona por defecto en los puertos 5444/tcp y 5440/tcp. Un atacante remoto autenticado podría aprovechar esta vulnerabilidad para leer o modificar la base de datos del CCS y ejecutar potencialmente operaciones administrativas de la base de datos o comandos del sistema operativo
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2024

Vulnerabilidad en la interfaz web en Central Control Server (CCS), SiNVR 3 Video Server (CVE-2019-19293)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad Control Server (CCS) (Todas las versiones anteriores a V1.5.0).La interfaz web del Servidor del Centro de Control (CCS) contiene una vulnerabilidad de Cross-site Scripting (XSS) reflejada que podría permitir a un atacante remoto no autentificado robar datos sensibles o ejecutar acciones administrativas en nombre de un administrador legítimo de la interfaz web del CCS
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2024

Vulnerabilidad en la interfaz web en varios campos de entrada en Central Control Server (CCS) (CVE-2019-19294)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en Central Control Server (CCS) (Todas las versiones anteriores a V1.5.0). La interfaz web de Central Control Server (CCS) contiene múltiples vulnerabilidades de Cross-site Scripting (XSS) almacenadas en varios campos de entrada. Esto podría permitir a un atacante remoto autenticado inyectar código JavaScript malicioso en la aplicación web de CCS que se ejecuta posteriormente en el contexto del navegador de cualquier otro usuario que vea el contenido web de CCS correspondiente
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2024

Vulnerabilidad en protocolo de comunicación basado en XML en los puertos 5444/tcp y 5440/tcp en Central Control Server (CVE-2019-19295)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en Central Control Server (CCS) (Todas las versiones anteriores a V1.5.0). El Servidor de Control Center (CCS) no aplica el registro de actividades relevantes para la seguridad en su protocolo de comunicación basado en XML, tal y como se proporciona por defecto en los puertos 5444/tcp y 5440/tcp. Un atacante remoto autenticado podría explotar esta vulnerabilidad para realizar acciones encubiertas que no son visibles en el registro de la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2024

Vulnerabilidad en los dos servicios FTP (puertos predeterminados 21/tcp y 5411/tcp) en SiNVR/SiVMS Video Server (CVE-2019-19296)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en SiNVR/SiVMS Video Server (Todas las versiones anteriores a V5.0.0). Los dos servicios FTP (puertos por defecto 21/tcp y 5411/tcp) del Servidor de Vídeo SiVMS/SiNVR contienen una vulnerabilidad de cruce de ruta que podría permitir a un atacante remoto autentificado acceder y descargar archivos arbitrarios del servidor, si los servicios FTP están habilitados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2024

Vulnerabilidad en el servicio de transmisión (puerto predeterminado 5410/tcp) en SiNVR/SiVMS Video Server (CVE-2019-19297)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en SiNVR/SiVMS Video Server (Todas las versiones anteriores a V5.0.0). El servicio de streaming (puerto por defecto 5410/tcp) de SiVMS/SiNVR Video Server contiene una vulnerabilidad de path traversal, que podría permitir a un atacante remoto no autentificado acceder y descargar archivos arbitrarios desde el servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2024

Vulnerabilidad en el servicio de transmisión (puerto predeterminado 5410/tcp) en SiNVR/SiVMS Video Serve (CVE-2019-19299)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en SiNVR/SiVMS Video Server (Todas las versiones). El servicio de streaming (puerto por defecto 5410/tcp) de SiVMS/SiNVR Video Server aplica una criptografía débil al exponer las contraseñas de los dispositivos (cámaras). Esto podría permitir a un atacante remoto no autentificado leer y descifrar las contraseñas y realizar otros ataques
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2024

Vulnerabilidad en peticiones HTTP en el servicio de transmisión (puerto predeterminado 5410/tcp) en SiNVR 3 Central Control Server (CCS) y SiNVR 3 Video Server (CVE-2019-19298)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en SiNVR/SiVMS Video Server (Todas las versiones anteriores a V5.0.2). El servicio de streaming (puerto por defecto 5410/tcp) de SiVMS/SiNVR Video Server contiene una vulnerabilidad de validación de entrada, que podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio mediante el envío de peticiones HTTP malformadas
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2024

Vulnerabilidad en envío de paquetes al puerto 102/tcp (Profinet) en SIMATIC S7-300 CPU family y SINUMERIK 840D sl de Siemens (CVE-2019-18336)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en SIMATIC S7-300 CPU family (incluyendo las variantes relacionadas a ET200 CPUs y SIPLUS) (Todas las versiones anteriores a V3.X.17), SIMATIC TDC CP51M1 (Todas las versiones anteriores a V1.1.8), SIMATIC TDC CPU555 (Todas las versiones anteriores a V1.1.1), SINUMERIK 840D sl (Todas las versiones anteriores a V4.8.6), SINUMERIK 840D sl (Todas las versiones anteriores a V4.94). Los paquetes especialmente diseñados enviados hacia el puerto 102/tcp (Profinet) pueden hacer que el dispositivo afectado entre en modo de defecto. Es requerido un reinicio para recuperar el sistema. Una explotación con éxito requiere que un atacante tenga acceso de red al puerto 102/tcp, sin autenticación. No es requerida una interacción del usuario. Al momento de la publicación del aviso no se conocía una explotación pública de esta vulnerabilidad de seguridad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/09/2020

Vulnerabilidad en creación de cuentas especiales ("service users") en SIPORT MP de Siemens (CVE-2019-19277)
Fecha de publicación:
10/03/2020
Idioma:
Español
Se ha identificado una vulnerabilidad en SIPORT MP (Todas las versiones anteriores a la versión 3.1.4). Las versiones vulnerables del dispositivo permiten la creación de cuentas especiales ("service users") con privilegios administrativos que podrían permitir a un atacante autenticado remoto llevar a cabo acciones que no son visibles para otros usuarios del sistema, tales como otorgar a las personas acceso a un área segura.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2021
Suscribirse a Vulnerabilidades