Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin Geo Mashup para WordPress (CVE-2018-14071)
Fecha de publicación:
16/07/2018
Idioma:
Español
El plugin Geo Mashup en versiones anteriores a la 1.10.4 para WordPress tiene un saneamiento insuficiente de post editor y otras entradas del usuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/09/2024

Vulnerabilidad en la API REST en Infinispan (CVE-2017-2638)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto que la API REST en Infinispan en versiones anteriores a la 9.0.0 no aplicaba correctamente las restricciones auth. Un atacante podría emplear esta vulnerabilidad para leer o modificar datos en la caché por defecto o un nombre de caché conocido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en curl y libcurl (CVE-2017-7468)
Fecha de publicación:
16/07/2018
Idioma:
Español
En curl y libcurl 7.52.0 hasta e incluyendo la versión 7.53.1, libcurl intenta retomar una sesión TLS aunque el certificado del cliente haya cambiado. Esto es inaceptable, ya que un servidor por sus especificaciones puede saltarse la comprobación de certificado de cliente al retomar su operativa para emplear en su lugar la identidad antigua que fue establecida por el anterior certificado (o no certificado). Por defecto, libcurl soporta el uso de un ID/ticket TLS para retomar sesiones TLS anteriores para acelerar los handshakes TLS subsecuentes. Se emplean cuando, por algún motivo, una conexión TLS no pudo mantenerse activa para hacer que el siguiente handshake fuese más rápido. Este error es una regresión y es idéntico a CVE-2016-5419, reportado el 3 de agosto de 2016, pero afectando a un rango de versiones diferente.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en el recurso IncomingMailServers en Atlassian JIRA Server (CVE-2018-13387)
Fecha de publicación:
16/07/2018
Idioma:
Español
El recurso IncomingMailServers en Atlassian JIRA Server en versiones anteriores a la 7.6.7, desde la versión 7.7.0 antes de la 7.7.5, desde la versión 7.8.0 antes de la 7.8.5, desde la versión 7.9.0 antes de la 7.9.3 y desde la versión 7.10.0 antes de la 7.10.2 permite que atacantes remotos inyecten HTML o JavaScript arbitrarios mediante una vulnerabilidad Cross-Site Scripting (XSS) en el parámetro messagesThreshold, ya que la solución para CVE-2017-18039 estaba incompleta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2022

Vulnerabilidad en EUC (CVE-2018-14087)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en una implementación de contrato inteligente para EUC (EUC), un token de Ethereum. El contrato tiene un desbordamiento de enteros. Si el propietario establece el valor de buyPrice a un número grande en setPrices(), "msg.value * buyPrice" provocará un desbordamiento de enteros en la función fallback.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2020

Vulnerabilidad en MKCB (CVE-2018-14084)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en una implementación de contrato inteligente para MKCB, un token de Ethereum. Si el propietario establece el valor de sellPrice a un número grande en setPrices(), "amount * sellPrice" provocará un desbordamiento de enteros en sell().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2020

Vulnerabilidad en sellPrice en SingaporeCoinOrigin (CVE-2018-14086)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en una implementación de contrato inteligente para SingaporeCoinOrigin (SCO), un token de Ethereum. El contrato tiene un desbordamiento de enteros. Si el propietario establece el valor de sellPrice a un número grande en setPrices(), "amount * sellPrice" provocará un desbordamiento de enteros en sell().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2020

Vulnerabilidad en UserWallet (CVE-2018-14085)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en una implementación de contrato inteligente para UserWallet 0x0a7bca9FB7AfF26c6ED8029BB6f0F5D291587c42, un token de Ethereum. Supongamos que el propietario añade la dirección del contrato malicioso a su sweeper. El contrato malicioso se vería así: contract Exploit { uint public start; function sweep(address _token, uint _amount) returns (bool) { start = 0x123456789; return true;} }. Así, cuando se llama a la función sweep() en el contrato UserWallet, cambiará sweeperList a 0X123456789.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2018

Vulnerabilidad en STeX White List (CVE-2018-14088)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en una implementación de contrato inteligente para STeX White List (STE(WL)), un token de Ethereum. El contrato tiene un desbordamiento de enteros. Si el propietario establece el valor de amount a un número grande, "amount * 1000000000000000" provocará un desbordamiento de enteros en withdrawToFounders().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2018

Vulnerabilidad en Virgo_ZodiacToken (CVE-2018-14089)
Fecha de publicación:
16/07/2018
Idioma:
Español
Se ha descubierto un problema en una implementación de contrato inteligente para Virgo_ZodiacToken, un token de Ethereum. En este contrato, "bool sufficientAllowance = allowance value".
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2018

Vulnerabilidad en sixel_decoder_decode de libsixel (CVE-2018-14072)
Fecha de publicación:
15/07/2018
Idioma:
Español
libsixel 1.8.1 tiene una fuga de memoria en sixel_decoder_decode en decoder.c e image_buffer_resize en fromsixel.c y sixel_decode_raw en fromsixel.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en sixel_allocator_new en libsixel (CVE-2018-14073)
Fecha de publicación:
15/07/2018
Idioma:
Español
libsixel 1.8.71 tiene una fuga de memoria en sixel_allocator_new en allocator.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019
Suscribirse a Vulnerabilidades