Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform (BI Workspace) (CVE-2019-0331)
Fecha de publicación:
14/08/2019
Idioma:
Español
Bajo determinadas condiciones, SAP BusinessObjects Business Intelligence Platform (BI Workspace), versiones 4.1, 4.2, 4.3, permite a un atacante acceder a datos confidenciales tal y como la estructura de directorios, conllevando a la Divulgación de Información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform (Web Intelligence) (CVE-2019-0333)
Fecha de publicación:
14/08/2019
Idioma:
Español
En algunas situaciones, cuando un cliente cancela una consulta en SAP BusinessObjects Business Intelligence Platform (Web Intelligence), versiones 4.2, 4.3, el atacante puede entonces consultar y recibir todo el conjunto de datos en lugar de solo lo que forma parte de su perfil de seguridad, lo que resulta en una Divulgación de Información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en el plugin wp-statistics para WordPress (CVE-2017-18515)
Fecha de publicación:
14/08/2019
Idioma:
Español
El plugin wp-statistics versiones anteriores a 12.0.8 para WordPress, presenta una inyección SQL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/08/2019

Vulnerabilidad en el archivo fitz/string.c en la función fz_chartorune en Artifex MuPDF. (CVE-2019-14975)
Fecha de publicación:
14/08/2019
Idioma:
Español
Artifex MuPDF versiones anteriores a 1.16.0, tiene una lectura excesiva de búfer en la región heap de la memoria en la función fz_chartorune en el archivo fitz/string.c porque el archivo pdf/pdf-op-filter.c no comprueba si falta una cadena.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el subsistema MediaTek Embedded Multimedia Card para Android sobre dispositivos (CVE-2019-15027)
Fecha de publicación:
14/08/2019
Idioma:
Español
El subsistema MediaTek Embedded Multimedia Card (eMMC) para Android sobre dispositivos SoC MT65xx, MT66xx y MT8163, permite a atacantes ejecutar comandos arbitrarios como root por medio de metacaracteres de shell en un nombre de archivo bajo /data, porque la función clear_emmc_nomedia_entry en el archivo plataforma/mt6577/external/meta/emmc/meta_clr_emmc.c invoca "system("/system/bin/rm -r /data/" seguido de este nombre de archivo luego de una autorización de eMMC de un arranque en Modo Meta. NOTA: el compromiso del Fire OS en Amazon Echo Dot requeriría una segunda vulnerabilidad hipotética que permite la creación del archivo requerido bajo /data.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en SYS. DBMS_AQ, Core RDBMS, SDO_GEOM, Export y DBMS (CVE-2019-14973)
Fecha de publicación:
14/08/2019
Idioma:
Español
Múltiples vulnerabilidades no especificadas en Oracle Database versiones 9.0.1.5 FIPS+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5 y 10.2.0.3, presentan un impacto desconocido y vectores de ataque remotos no autenticados o autenticados relacionados con (1) SYS. DBMS_AQ en el componente Advanced Queue Server, también se conoce como DB01; (2) Core RDBMS, también se conoce como DB03; (3) SDO_GEOM en Oracle Spatial, también se conoce como DB06; (4) Export, también se conoce como DB12; y (5) DBMS_STATS en el Query Optimizer , también se conoce como DB13. NOTA: la información anterior fue obtenida de la CPU de Oracle. Oracle no ha comentado sobre las afirmaciones de investigadores confiables de que DB06 es inyección SQL y DB13 se produce cuando se restablece la cuenta OUTLN para utilizar una contraseña embebida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo eXtl_tls.c en la función handle_messages en eXosip. (CVE-2014-10375)
Fecha de publicación:
14/08/2019
Idioma:
Español
la función handle_messages en el archivo eXtl_tls.c en eXosip versiones anteriores a 5.0.0, maneja inapropiadamente un valor negativo en un encabezado content-length.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/08/2019

Vulnerabilidad en la función com_contact en Joomla! (CVE-2019-15028)
Fecha de publicación:
14/08/2019
Idioma:
Español
En Joomla! versiones anteriores a 3.9.11, las comprobaciones inadecuadas en la función com_contact podrían permitir el envío de correo en formularios deshabilitados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en HTTP / 2 (CVE-2019-9518)
Fecha de publicación:
13/08/2019
Idioma:
Español
Algunas implementaciones de HTTP / 2 son vulnerables a una avalancha de tramas vacías, lo que puede conducir a una denegación de servicio. El atacante envía una secuencia de tramas con una carga útil vacía y sin el indicador de fin de secuencia. Estos marcos pueden ser DATA, HEADERS, CONTINUATION y / o PUSH_PROMISE. El par pasa tiempo procesando cada cuadro desproporcionado para atacar el ancho de banda. Esto puede consumir un exceso de CPU.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2025

Vulnerabilidad en HTTP / 2 (CVE-2019-9517)
Fecha de publicación:
13/08/2019
Idioma:
Español
Algunas implementaciones HTTP / 2 son vulnerables al almacenamiento en búfer de datos interal sin restricciones, lo que puede conducir a una denegación de servicio. El atacante abre la ventana HTTP / 2 para que el par pueda enviar sin restricciones; sin embargo, dejan la ventana TCP cerrada para que el igual no pueda escribir (muchos de) los bytes en el cable. El atacante luego envía una secuencia de solicitudes para un objeto de respuesta grande. Dependiendo de cómo los servidores ponen en cola las respuestas, esto puede consumir un exceso de memoria, CPU o ambos.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2025

Vulnerabilidad en PCManager (CVE-2019-5223)
Fecha de publicación:
13/08/2019
Idioma:
Español
PCManager 9.1.3.1 tiene una vulnerabilidad de autenticación incorrecta. La determinada interfaz del controlador del software no realiza una validación de los datos del modo de usuario correctamente, la explotación exitosa podría provocar la ejecución de código malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2019

Vulnerabilidad en SIP TLS del teléfono Huawei CloudLink (CVE-2019-5280)
Fecha de publicación:
13/08/2019
Idioma:
Español
El módulo SIP TLS del teléfono Huawei CloudLink 7900 con V600R019C10 tiene una vulnerabilidad de verificación de certificado TLS. Debido a la verificación insuficiente de los parámetros específicos del certificado del servidor TLS, los atacantes pueden realizar ataques de tipo man-in-the-middle , lo que lleva a que los teléfonos afectados se registren de manera anormal, lo que afecta la disponibilidad de los teléfonos IP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2019
Suscribirse a Vulnerabilidades