Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin Yoast SEO para WordPress (CVE-2018-19370)
Fecha de publicación:
28/11/2018
Idioma:
Español
Una vulnerabilidad de condición de carrera en unzip_file en admin/import/class-import-settings.php en el plugin Yoast SEO (wordpress-seo) en versiones anteriores a la 9.2.0 para WordPress permite que un SEO Manager ejecute comandos en el sistema operativo mediante una importación de ZIP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2019

Vulnerabilidad en Interspire Email Marketer (CVE-2018-19651)
Fecha de publicación:
28/11/2018
Idioma:
Español
admin/functions/remote.php en Interspire Email Marketer hasta la versión 6.1.6 tiene Server Side Request Forgery (SSRF) mediante una petición what=importurlurl= con una URL http o https. Esto también permite la lectura de archivos locales con una URL file:.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Rapid7 Komand (CVE-2018-5559)
Fecha de publicación:
28/11/2018
Idioma:
Español
En Rapid7 Komand, en versiones 0.41.0 y anteriores, ciertos extremos que pueden listar los datos de conexión, siempre cifrados en reposo podrían devolver algunas configuraciones de datos de conexión sin oscurecer datos sensibles desde la respuesta de la API enviada a través de un canal cifrado. Este problema no afecta a Rapid7 Komand en versiones 0.42.0 y posteriores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Imperva SecureSphere (CVE-2018-19646)
Fecha de publicación:
28/11/2018
Idioma:
Español
Los scripts Python CGI en PWS en Imperva SecureSphere 13.0.10, 13.1.10 y 13.2.10 permiten que los atacantes remotos ejecuten comandos arbitrarios del sistema operativo debido a que los argumentos de la línea de comandos se gestionan de manera incorrecta.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/02/2019

Vulnerabilidad en Cisco Prime License Manager (CVE-2018-15441)
Fecha de publicación:
28/11/2018
Idioma:
Español
Una vulnerabilidad en el código del framework web de Cisco Prime License Manager (PLM) podría permitir que un atacante remoto no autenticado ejecute consultas SQL arbitrarias. Esta vulnerabilidad se debe a la falta de validación adecuada de los valores de entrada proporcionados por el usuario en consultas SQL. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP POST manipuladas que incluyan instrucciones SQL maliciosas a la aplicación afectada. Su explotación con éxito podría permitir que el atacante modifique y elimine datos arbitrarios en la base de datos PLM u obtenga acceso shell con los privilegios del usuario postgres.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en Node.js (CVE-2018-12120)
Fecha de publicación:
28/11/2018
Idioma:
Español
Node.js: Todas las versiones anteriores a la 6.15.0: El puerto de depuración 5858 escucha en cualquier interfaz por defecto. Cuando el depurador está habilitado con "node --debug" o "node debug", escucha en el puerto 5858 en todas las interfaces por defecto. Esto podría permitir que los ordenadores remotos se conecten al puerto de depuración y evalúen JavaScript arbitrario. La interfaz por defecto es ahora localhost. Siempre ha sido posible iniciar el depurador en una interfaz concreta, como "node --debug=localhost". El depurador fue eliminado en Node.js 8 y se sustituyó por el inspector, por lo que no hay versiones vulnerables a partir de la 8.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/09/2022

Vulnerabilidad en Node.js (CVE-2018-12116)
Fecha de publicación:
28/11/2018
Idioma:
Español
Node.js: Todas las versiones anteriores a la 6.15.0 y 8.14.0: separación de petición HTTP. Si se puede convencer a Node.js para que emplee datos Unicode no saneados proporcionados por el usuario para la opción "path" de una petición HTTP, los datos pueden proporcionarse para desencadenar una segunda petición HTTP no esperada y definida por el usuario para el mismo servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/08/2022

Vulnerabilidad en Node.js (CVE-2018-12122)
Fecha de publicación:
28/11/2018
Idioma:
Español
Node.js: Todas las versiones anteriores a la 6.15.0, 8.14.0, 10.14.0 y 11.3.0: Denegación de servicio (DoS) HTTP mediante Slowloris. Un atacante puede provocar una denegación de servicio (DoS) enviando cabeceras muy lentamente, manteniendo las conexiones HTTP o HTTPS y los recursos asociados vivos durante un largo período de tiempo.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2024

Vulnerabilidad en Node.js (CVE-2018-12123)
Fecha de publicación:
28/11/2018
Idioma:
Español
Node.js: Todas las versiones anteriores a la 6.15.0, 8.14.0, 10.14.0 y 11.3.0: Suplantación dek nombre del host en un analizador de URL para el protocolo JavaScript. Si una aplicación de Node.js está empleando url.parse() para determinar el nombre de host de la URL, dicho nombre puede suplantarse mediante un protocolo "javascript:" de letra mixta (por ejemplo, "javAscript:"). Otros protocolos no se han visto afectados. Si se realizan decisiones de seguridad sobre la URL basadas en su nombre de host, podrían ser incorrectas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2024

Vulnerabilidad en Node.js (CVE-2018-12121)
Fecha de publicación:
28/11/2018
Idioma:
Español
Node.js: Todas las versiones anteriores a la 6.15.0, 8.14.0, 10.14.0 y 11.3.0: Denegación de servicio (DoS) con cabeceras HTTP grandes. Mediante la combinación de muchas peticiones con cabeceras de tamaño máximo (casi 80 KB por conexión) y al terminar a su debido tiempo las cabeceras, es posible provocar que el servidor HTTP aborte el fallo de asignación de memoria dinámica (heap). El potencial del ataque se ve mitigado por el uso de un balance de carga u otra capa del proxy.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/12/2024

Vulnerabilidad en QTS (CVE-2018-14749)
Fecha de publicación:
28/11/2018
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer en QTS 4.3.5 build 20181013, QTS 4.3.4 build 20181008, QTS 4.3.3 build 20180829 y QTS 4.2.6 build 20180829 y sus versiones anteriores podría provocar un impacto no especificado en el NAS.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/12/2018

Vulnerabilidad en QTS (CVE-2018-14747)
Fecha de publicación:
28/11/2018
Idioma:
Español
Vulnerabilidad de desreferencia de puntero NULL en QTS 4.3.5 build 20181013, QTS 4.3.4 build 20181008, QTS 4.3.3 build 20180829 y QTS 4.2.6 build 20180829 y sus versiones anteriores podría permitir que los atacantes remotos ejecuten comandos arbitrarios en el NAS.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/12/2018
Suscribirse a Vulnerabilidades