Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en BIG-IP (CVE-2019-6599)
Fecha de publicación:
13/03/2019
Idioma:
Español
En BIG-IP 11.6.1-11.6.3.2 o 11.5.1-11.5.8, o Enterprise Manager 3.1.1, el escapado incorrecto de valores en una página sin reCVElar de la utilidad de configuración podría resultar en la gestión inadecuada de la respuesta JSON cuando es inyectada por un script malicioso mediante un ataque remoto de Cross-Site Scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2019

Vulnerabilidad en Tiny C Compiler (CVE-2019-9754)
Fecha de publicación:
13/03/2019
Idioma:
Español
Se ha descubierto un problema en Tiny C Compiler (también conocido como TinyCC o TCC) 0.9.27. La compilación de un archivo fuente manipulado conduce a una escritura fuera de límites de 1 byte en la función end_macro en tccpp.c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2019

Vulnerabilidad en Open Ticket Request System (CVE-2019-9751)
Fecha de publicación:
13/03/2019
Idioma:
Español
Se ha descubierto un problema en Open Ticket Request System (OTRS), en CVErsiones 6.x, anteriores a la 6.0.17 y CVErsiones 7.x anteriores a la 7.0.5. Un atacante que haya iniciado sesión en OTRS como usuario administrador podría manipular la URL para provocar la ejecución de JavaScript en el contexto de OTRS. Esto está relacionado con Kernel/Output/Template/Document.pm.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2019

Vulnerabilidad en Open Ticket Request System (CVE-2018-20800)
Fecha de publicación:
13/03/2019
Idioma:
Español
Se ha descubierto un problema en Open Ticket Request System (OTRS), en sus CVErsiones 5.0.31 y 6.0.13. Los usuarios que actualicen a la CVErsión 6.0.13 (también actualizaciones a niCVEl de parche) o 5.0.31 (solo actualizaciones principales) experimentarán una pérdida de datos en su tabla de preferencias de agente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2019

Vulnerabilidad en BIG-IP (CVE-2019-6596)
Fecha de publicación:
13/03/2019
Idioma:
Español
En BIG-IP 14.0.0-14.0.0.2, 13.0.0-13.1.1.1, 12.1.0-12.1.3.6, 11.6.1-11.6.3.2 o 11.5.1-11.5.8, al procesar mensajes fragmentados ClientHello en una sesión DTLS TMM podría corromper la memoria, conduciendo finalmente a un cierre inesperado. Solo los sistemas que ofrecen conexiones DTLS mediante APM se han visto impactados.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en BIG-IP (CVE-2019-6597)
Fecha de publicación:
13/03/2019
Idioma:
Español
En BIG-IP, 13.0.0-13.1.1.1, 12.1.0-12.1.3.7, 11.6.1-11.6.3.2, o 11.5.1-11.5.8 o Enterprise Manager 3.1.1, cuando los usuarios administrativos autenticados ejecutan comandos en el TMUI (Traffic Management User Interface), también llamado utilidad BIG-IP Configuration, podrían no aplicarse las restricciones sobre los comandos permitidos.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en BIG-IP (CVE-2019-6598)
Fecha de publicación:
13/03/2019
Idioma:
Español
En BIG-IP, 14.0.0-14.0.0.2, 13.0.0-13.1.0.7, 12.1.0-12.1.3.5, 11.6.1-11.6.3.2, o 11.5.1-11.5.8 o Enterprise Manager 3.1.1, las peticiones mal formadas al TMUI (Traffic Management User Interface), también llamado utilidad BIG-IP Configuration, podría conducir a la interrupción de los servicios TMUI. Este ataque requiere un usuario autenticado con cualquier rol (aparte del rol "No Access"). El rol de usuario "No Access" no puede iniciar sesión y no cuenta con el niCVEl de acceso necesario para realizar el ataque.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en BIG-IP (CVE-2019-6600)
Fecha de publicación:
13/03/2019
Idioma:
Español
En BIG-IP 14.0.0-14.0.0.2, 13.0.0-13.1.1.3, 12.1.0-12.1.3.7, 11.6.1-11.6.3.2, o 11.5.1-11.5.8, cuando la autenticación remota está habilitada para usuarios administrativos y a todos los usuarios se les otorga el rol "guest", los valores no saneados pueden devolverse al cliente mediante la página de inicio de sesión. Esto puede conducir a un ataque de Cross-Site Scripting (XSS) contra clientes no autenticados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/02/2023

Vulnerabilidad en Open Ticket Request System (CVE-2019-9752)
Fecha de publicación:
13/03/2019
Idioma:
Español
Se ha descubierto un problema en Open Ticket Request System (OTRS), en CVErsiones 5.x anteriores a la 5.0.34, CVErsiones 6.x anteriores a la 6.0.16 y CVErsiones 7.x anteriores a la 7.0.4. Un atacante que haya iniciado sesión en OTRS como usuario agente o cliente podría subir un recurso manipulado para provocar la ejecución de JavaScript en el contexto de OTRS. Esto está relacionado con la gestión incorrecta de Content-type en Kernel/Modules/PictureUpload.pm.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2022

Vulnerabilidad en BIG-IP (CVE-2019-6601)
Fecha de publicación:
13/03/2019
Idioma:
Español
En BIG-IP 13.0.0, 12.1.0-12.1.3.7, 11.6.1-11.6.3.2, o 11.5.1-11.5.8, el proceso wamd de Application Acceleration Manager (AAM) empleado en el procesamiento de imágenes y PDF no renuncia a los permisos del grupo al ejecutar scripts helper.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2023

Vulnerabilidad en Cisco Common Services Platform Collector (CVE-2019-1723)
Fecha de publicación:
13/03/2019
Idioma:
Español
Una vulnerabilidad en Cisco Common Services Platform Collector (CSPC) podría permitir que un atacante remoto no autenticado acceda a un dispositivo afectado mediante el uso de una cuenta que tiene una contraseña estática por defecto. Esta cuenta no tiene privilegios de administrador. La vulnerabilidad existe debido a que el software afectado tiene una cuenta de usuario con una contraseña estática por defecto. Un atacante podría explotar esta vulnerabilidad conectándose remotamente al sistema afectado mediante esta cuenta. Un exploit con éxito podría permitir que el atacante consiga iniciar sesión en el CSPC utilizando la cuenta por defecto. Para Cisco CSPC 2.7.x, Cisco solucionó esta vulnerabilidad en la CVErsión 2.7.4.6. Para Cisco CSPC 2.8.x, Cisco solucionó esta vulnerabilidad en la CVErsión 2.8.1.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/10/2020

Vulnerabilidad en Cisco Small Business SPA514G IP Phones (CVE-2018-0389)
Fecha de publicación:
13/03/2019
Idioma:
Español
Una vulnerabilidad en la implementación del procesamiento de Session Initiation Protocol (SIP) en Cisco Small Business SPA514G IP Phones podría permitir que un atacante remoto sin autenticar haga que el dispositivo afectado no responda, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un procesamiento incorrecto de los mensajes de petición SIP por parte de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando mensajes SIP manipulados a un dispositivo afectado. Un exploit con éxito, podría permitir que el atacante consiga que el dispositivo afectado no responda, lo que da como resultado una condición de DoS que persista hasta que el dispositivo se reinicie manualmente. Cisco no ha publicado actualizaciones de software que aborden esta vulnerabilidad. Esta vulnerabilidad afecta a Cisco Small Business SPA514G IP Phones que ejecuten la distribución 7.6.2SR2 o anterior del firmware.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades