Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en XMLV2 LIBNAME en la opción AUTOMAP en SAS XML Mapper (CVE-2019-14678)
Fecha de publicación:
14/11/2019
Idioma:
Español
SAS XML Mapper versión 9.45, tiene una vulnerabilidad de tipo XML External Entity (XXE) que los atacantes maliciosos pueden aprovechar en múltiples maneras. Algunos ejemplos son la Lectura de Archivos Local, la Filtración de Archivos Fuera de Banda, la Falsificación de Peticiones del Lado del Servidor o potenciales ataques de denegación de servicio. Esta vulnerabilidad también afecta al motor XMLV2 LIBNAME cuando se utiliza la opción AUTOMAP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/11/2019

Vulnerabilidad en Se descubrió un problema en los dispositivos Zyxel GS1900 (CVE-2019-15802)
Fecha de publicación:
14/11/2019
Idioma:
Español
Se descubrió un problema en los dispositivos Zyxel GS1900 con firmware anterior a la versión 2.50 (AAHH.0) C0. El firmware codifica y cifra las contraseñas con una clave criptográfica codificada en sal_util_str_encrypt () en libsal.so.0.0. Los parámetros (sal, IV y datos clave) se utilizan para cifrar y descifrar todas las contraseñas utilizando AES256 en modo CBC. Con los parámetros conocidos, se pueden descifrar todas las contraseñas previamente encriptadas. Esto incluye las contraseñas que forman parte de las copias de seguridad de la configuración o que están integradas como parte del firmware.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/11/2019

Vulnerabilidad en los dispositivos Zyxel GS1900 con firmware (CVE-2019-15799)
Fecha de publicación:
14/11/2019
Idioma:
Español
Se descubrió un problema en los dispositivos Zyxel GS1900 con firmware anterior a la versión 2.50 (AAHH.0) C0. Las cuentas de usuario creadas a través de la interfaz web del dispositivo, cuando se les otorgan privilegios de nivel no administrativo, tienen el mismo nivel de acceso privilegiado que los administradores cuando se conectan al dispositivo a través de SSH (mientras que sus permisos a través de la interfaz web están de hecho restringidos). Esto permite a los usuarios normales obtener la contraseña administrativa ejecutando el comando de soporte técnico a través de la CLI: contiene las contraseñas cifradas para todos los usuarios en el dispositivo. Como estas contraseñas se cifran con parámetros conocidos y estáticos, se pueden descifrar y se pueden obtener las contraseñas originales (incluida la contraseña del administrador).
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2019

Vulnerabilidad en Se descubrió un problema en los dispositivos Zyxel GS1900 (CVE-2019-15800)
Fecha de publicación:
14/11/2019
Idioma:
Español
Se descubrió un problema en los dispositivos Zyxel GS1900 con firmware anterior a 2.50 (AAHH.0) C0. Debido a la falta de validación de entrada en las funciones cmd_sys_traceroute_exec (), cmd_sys_arp_clear () y cmd_sys_ping_exec () en la biblioteca libclicmd.so contenida en el firmware, un atacante podría aprovechar estas funciones para llamar al sistema () y ejecutar comandos arbitrarios en los conmutadores . (Tenga en cuenta que estas funciones no se invocan actualmente en esta versión del firmware, sin embargo, un atacante podría usar otras vulnerabilidades para finalmente usar estas vulnerabilidades para obtener la ejecución del código).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en Se descubrió un problema en los dispositivos Zyxel GS1900 con firmware (CVE-2019-15803)
Fecha de publicación:
14/11/2019
Idioma:
Español
Se descubrió un problema en los dispositivos Zyxel GS1900 con firmware anterior a la versión 2.50 (AAHH.0) C0. A través de una secuencia indocumentada de pulsaciones de teclas, se activa la funcionalidad no documentada. Se activa un shell de diagnóstico a través de CTRL-ALT-t, que solicita la contraseña devuelta por fds_sys_passDebugPasswd_ret (). El firmware contiene comprobaciones de control de acceso que determinan si los usuarios remotos pueden acceder a esta funcionalidad. La función que realiza esta comprobación (fds_sys_remoteDebugEnable_ret en libfds.so) siempre devuelve VERDADERO sin realizar comprobaciones reales. El menú de diagnóstico permite leer / escribir registros arbitrarios y varios otros parámetros de configuración que se cree que están relacionados con los chips de la interfaz de red.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en CLI en los dispositivos Zyxel GS1900 (CVE-2019-15804)
Fecha de publicación:
14/11/2019
Idioma:
Español
Se descubrió un problema en los dispositivos Zyxel GS1900 con firmware anterior a 2.50(AAHH.0)C0. Mediante el envió de una señal al proceso de la CLI, una funcionalidad no documentada es activada. Específicamente, se puede activar un menú mediante el envío de la señal SIGQUIT a la aplicación de la CLI (por ejemplo, por medio de CTRL+\ vía SSH). La comprobación del control de acceso para este menú opera y prohíbe acceder al menú, que contiene las opciones de "Password recovery for specific user". Se cree que es posible acceder al menú usando una consola en serie.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en un acceso local en la tabla de páginas por parte de un sistema operativo invitado virtual para múltiples procesadores Intel® (CVE-2018-12207)
Fecha de publicación:
14/11/2019
Idioma:
Español
Una invalidación inapropiada de las actualizaciones de la tabla de páginas por parte de un sistema operativo invitado virtual para múltiples procesadores Intel® puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio del sistema host por medio de un acceso local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un acceso local en un subsistema para Intel® Graphics Driver (CVE-2019-14574)
Fecha de publicación:
14/11/2019
Idioma:
Español
Una lectura fuera de límites en un subsistema para Intel® Graphics Driver versiones anteriores a la versión 26.20.100.7209 puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/11/2022

Vulnerabilidad en un acceso local en la API para Intel® Graphics Driver. (CVE-2019-14590)
Fecha de publicación:
14/11/2019
Idioma:
Español
Un control de acceso inapropiado en la API para Intel® Graphics Driver versiones anteriores a la versión 26.20.100.7209 puede habilitar a un usuario autenticado para permitir potencialmente una divulgación de información por medio de un acceso local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/11/2022

Vulnerabilidad en un acceso local en la API para Intel® Graphics Driver (CVE-2019-14591)
Fecha de publicación:
14/11/2019
Idioma:
Español
Una validación de entrada inapropiada en la API para Intel® Graphics Driver versiones anteriores a la versión 26.20.100.7209 puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/11/2022

Vulnerabilidad en un acceso local en Intel® 6th Generation Core Processors compatibles con TXT. (CVE-2019-0124)
Fecha de publicación:
14/11/2019
Idioma:
Español
Una protección insuficiente de la memoria en Intel® 6th Generation Core Processors y superiores, compatibles con TXT, puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un acceso local en Intel® 6th Generation Core Processors compatibles con SGX (CVE-2019-0123)
Fecha de publicación:
14/11/2019
Idioma:
Español
Una protección insuficiente de la memoria en Intel® 6th Generation Core Processors y superiores, compatibles con SGX, puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades