Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Lenovo XClarity Administrator (LXCA), Lenovo XClarity Integrator (LXCI) para Microsoft System Center y Lenovo XClarity Integrator (LXCI) para VMWare vCenter (CVE-2019-6179)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se informo de una vulnerabilidad de procesamiento de XEE (XML External Entity) en Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 2.5.0, Lenovo XClarity Integrator (LXCI) para Microsoft System Center en versiones anteriores a la 7.7.0, y Lenovo XClarity Integrator (LXCI) para VMWare vCenter en versiones anteriores a la 6.1.0 que podría permitir la divulgación de información.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/10/2022

Vulnerabilidad en ABUS Secvest (CVE-2019-14261)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se ha descubierto un fallo en los dispositivos ABUS Secvest FUAA50000 versión 3.01.01. Debido a una implementación insuficiente de la detección de interferencias, un atacante puede suprimir correctamente los mensajes de RF recibidos enviados entre componentes periféricos inalámbricos, por ejemplo, detectores inalámbricos o controles remotos, y la central de alarmas ABUS Secvest. Un atacante puede realizar un ataque de "interferencia reactiva". El bloqueo reactivo simplemente detecta el inicio de un mensaje de RF enviado por un componente del sistema de alarma inalámbrico ABUS Secvest, por ejemplo, un detector de movimiento inalámbrico (FUBW50000) o un control remoto (FUBE50014 o FUBE50015), y lo superpone con datos aleatorios antes del finaliza el mensaje RF original. De este modo, el receptor (central de alarma) no puede decodificar adecuadamente la señal transmitida original. Esto permite que un atacante suprima mensajes RF recibidos correctamente del sistema de alarma inalámbrico de una manera no autorizada, por ejemplo, mensajes de estado enviados por un detector que indica una intrusión.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2019

Vulnerabilidad en el kernel de Microsoft Windows (CVE-2019-1125)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se presenta una vulnerabilidad de divulgación de información cuando ciertas unidades de procesamiento central (CPU) acceden especulativamente a la memoria, también conocida como "Windows Kernel Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-1071, CVE-2019-1073.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2024

Vulnerabilidad en el plugin download-manager para WordPress (CVE-2019-15889)
Fecha de publicación:
03/09/2019
Idioma:
Español
El plugin download-manager en versiones anteriores a la 2.9.94 para WordPress tiene Cross-Site Scripting (XSS) mediante la función shortcode de categoría, como es demostrado por el parámetro orderby or search[publish_date].
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/03/2025

Vulnerabilidad en Dell EMC Enterprise Copy Data Management (eCDM) (CVE-2019-3751)
Fecha de publicación:
03/09/2019
Idioma:
Español
Las versiones 1.0, 1.1, 2.0, 2.1 y 3.0 de Dell EMC Enterprise Copy Data Management (eCDM) contienen una vulnerabilidad de validación de certificado. Un atacante remoto no autenticado puede potencialmente explotar esta vulnerabilidad para llevar a cabo un ataque de hombre en el medio al proporcionar un certificado elaborado e interceptar el tráfico de la víctima para ver o modificar los datos de una víctima en tránsito.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2020

Vulnerabilidad en Dell EMC Unity Operating Environment, Dell EMC UnityVSA y Dell EMC VNXe3200 (CVE-2019-3754)
Fecha de publicación:
03/09/2019
Idioma:
Español
Dell EMC Unity Operating Environment en versiones anteriores a la 5.0.0.0.5.116, Dell EMC UnityVSA en versiones anteriores a la 5.0.0.0.5.116 y Dell EMC VNXe3200 en versiones anteriores a la 3.1.10.9946299 contienen una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en la página cas/logout. Un atacante remoto no identificado podría potencialmente aprovechar esta vulnerabilidad engañando a un usuario de una aplicación víctima para que proporcione código HTML o JavaScript malicioso a Unisphere, que se devuelve a la víctima y es ejecutado por el navegador web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en ghostscript (CVE-2019-14817)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se detecto un error en ghostscript en versiones anteriores a la 9.50, en el .pdfexectoken y en otros procedimientos en los que no aseguraba adecuadamente sus llamadas privilegiadas, permitiendo que los scripts omitieran las restricciones `-dSAFER`. Un archivo PostScript especialmente diseñado podría deshabilitar la protección de seguridad y luego tener acceso al sistema de archivos o ejecutar comandos arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en ghostscript (CVE-2019-14811)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se detecto un defecto en, ghostscript en versiones anteriores a la 9.50, en el procedimiento .pdf_hook_DSC_Creator donde no aseguró adecuadamente sus llamadas privilegiadas, permitiendo que los scripts omitieran las restricciones `-dSAFER`. Un archivo PostScript especialmente diseñado podría deshabilitar la protección de seguridad y luego tener acceso al sistema de archivos o ejecutar comandos arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Naver Cloud Explorer (CVE-2019-13156)
Fecha de publicación:
03/09/2019
Idioma:
Español
NDrive versión (1.2.2) .sys en Naver Cloud Explorer presenta un desbordamiento de búfer en la región stack de la memoria, que permite a los atacantes provocar una denegación de servicio al leer datos del identificador IOCTL.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2020

Vulnerabilidad en Samba (CVE-2019-10197)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se ha encontrado un error en Samba en las versiones 4.9.x hasta 4.9.13, samba versiones 4.10.x hasta 4.10.8 y samba versiones 4.11.x hasta 4.11.0rc3, cuando ciertos parámetros se establecieron en el archivo de configuración de samba. Un atacante no autenticado podría usar este defecto para escapar del directorio compartido y acceder al contenido de los directorios fuera del recurso compartido.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el plugin LoginPress para WordPress (CVE-2019-15872)
Fecha de publicación:
03/09/2019
Idioma:
Español
El plugin LoginPress en versiones anteriores a la 1.1.4 para WordPress tiene una inyección SQL mediante una importación de configuraciones.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/09/2019

Vulnerabilidad en el plugin profilegrid-user-profiles-groups-and-communities para WordPress (CVE-2019-15873)
Fecha de publicación:
03/09/2019
Idioma:
Español
El plugin profilegrid-user-profiles-groups-and-communities en versiones anteriores a la 2.8.6 para WordPress presenta una ejecución de código remota mediante una solicitud wp-admin/admin-ajax.php con la subcadena action-pm_template_preview&html-
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2022
Suscribirse a Vulnerabilidades