Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en dispositivos Foscam (CVE-2017-2873)
Fecha de publicación:
19/09/2018
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos en la interfaz de gestión web empleada por Foscam C1 Indoor HD Camera ejecutando el firmware de aplicación 2.52.2.43. Una petición HTTP especialmente manipulada puede permitir que un usuario inyecte caracteres shell durante la configuración de SoftAP, lo que resulta en una inyección de comandos. Un atacante puede simplemente enviar una petición HTTP al dispositivo para desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en dispositivos Foscam (CVE-2017-2876)
Fecha de publicación:
19/09/2018
Idioma:
Español
Existe una vulnerabilidad explotable de desbordamiento de búfer en la interfaz Multi-Camera utilizada por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. Una petición especialmente manipulada en el puerto 10000 puede provocar un desbordamiento de búfer, lo que provoca la sobrescritura de datos arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en dispositivos Foscam (CVE-2017-2877)
Fecha de publicación:
19/09/2018
Idioma:
Español
Falta una comprobación de error en la interfaz Multi-Camera utilizada por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. Una petición especialmente manipulada en el puerto 10001 podría permitir que un atacante reinicie las cuentas de usuario a datos de fábrica sin autenticación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/06/2022

Vulnerabilidad en dispositivos Linksys (CVE-2018-17208)
Fecha de publicación:
19/09/2018
Idioma:
Español
Los dispositivos de Linksys Velop 1.1.2.187020 permite la inyección de comandos no autenticada, proporcionando a un atacante con acceso root total mediante cgi-bin/zbtest.cgi o cgi-bin/zbtest2.cgi (scripts que se pueden descubrir con binwalk en el firmware, pero no son visibles en la interfaz web). Esto ocurre porque los metacaracteres shell en la cadena de consulta se gestionan de manera incorrecta por ShellExecute, tal y como queda demostrado con la subcadena zbtest.cgi?cmd=levellevel=. Esto también se puede explotar mediante Cross-Site Request Forgery (CSRF).
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Open vSwitch (CVE-2018-17205)
Fecha de publicación:
19/09/2018
Idioma:
Español
Se ha descubierto un problema en Open vSwitch (OvS) en versiones 2.7.x hasta la 2.7.6 que afecta a ofproto_rule_insert__ en ofproto/ofproto.c. Durante el commit bundle, los flujos que se añaden a un bundle se aplican a ofproto en orden. Si un flujo no se puede añadir (por ejemplo, la acción flow es un go-to para un ID de grupo que no existe), OvS intenta revertir todos los flujos anteriores cuando se aplican con éxito desde el mismo bundle. Esto es posible porque OvS mantiene una lista de flujos antiguos que se reemplazaron por flujos del bundle. Cuando se vuelve a insertar flujos antiguos, OvS tiene un fallo de aserción debido a una comprobación en la declaración de regla != RULE_INITIALIZED. Esto funcionaría para los nuevos flujos, pero para un flujo antiguo, la sentencia es RULE_REMOVED. El fallo de aserción provoca el cierre inesperado de OvS.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2021

Vulnerabilidad en Open vSwitch (CVE-2018-17206)
Fecha de publicación:
19/09/2018
Idioma:
Español
Se ha descubierto un problema en Open vSwitch, en versiones 2.7.x hasta la 2.7.6. La función decode_bundle dentro de lib/ofp-actions.c se ve afectada por un problema de sobrelectura de búfer durante la decodificación de la acción BUNDLE.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2021

Vulnerabilidad en Snap Creek Duplicator (CVE-2018-17207)
Fecha de publicación:
19/09/2018
Idioma:
Español
Se ha descubierto un problema en Snap Creek Duplicator en versiones anteriores a la 1.2.42. Al acceder a los archivos de instalación sobrantes (installer.php e installer-backup.php), un atacante puede inyectar código PHP en wp-config.php durante el paso de configuración de la base de datos, conduciendo a una ejecución de código arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/10/2021

Vulnerabilidad en dispositivos Foscam (CVE-2017-2855)
Fecha de publicación:
19/09/2018
Idioma:
Español
Existe una vulnerabilidad explotable de desbordamiento de búfer en el cliente DDNS utilizado por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. En dispositivos con DDNS habilitado, un atacante que sea capaz de interceptar conexiones HTTP podría comprometer por completo el dispositivo creando un servidor HTTP fraudulento.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en dispositivos Foscam (CVE-2017-2875)
Fecha de publicación:
19/09/2018
Idioma:
Español
Existe una vulnerabilidad explotable de desbordamiento de búfer en la interfaz Multi-Camera utilizada por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. Una petición especialmente manipulada en el puerto 10000 puede provocar un desbordamiento de búfer, lo que provoca la sobrescritura de datos arbitrarios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/06/2022

Vulnerabilidad en dispositivos Foscam (CVE-2017-2878)
Fecha de publicación:
19/09/2018
Idioma:
Español
Existe una vulnerabilidad explotable de desbordamiento de búfer en la interfaz de gestión web empleada por Foscam C1 Indoor HD Camera ejecutando el firmware de aplicación 2.52.2.43. Una petición HTTP especialmente manipulada puede provocar un desbordamiento de búfer, lo que provoca la sobrescritura de datos arbitrarios. Un atacante puede simplemente enviar una petición HTTP al dispositivo para desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en dispositivos Foscam (CVE-2017-2879)
Fecha de publicación:
19/09/2018
Idioma:
Español
Existe una vulnerabilidad explotable de desbordamiento de búfer en la implementación UPnP utilizada por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. Una respuesta de descubrimiento UPnP especialmente manipulada puede provocar un desbordamiento de búfer, lo que provoca la sobrescritura de datos arbitrarios. Un atacante necesita estar en la misma subred y responder al mensaje de descubrimiento para desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/06/2022

Vulnerabilidad en Open vSwitch (CVE-2018-17204)
Fecha de publicación:
19/09/2018
Idioma:
Español
Se ha descubierto un problema en Open vSwitch (OvS) en versiones 2.7.x hasta la 2.7.6 que afecta a parse_group_prop_ntr_selection_method en lib/ofp-util.c. Cuando se descodifica un mod de grupo, valida el tipo de grupo y comando después de que todo el mod de grupo se haya descodificado. Sin embargo, el decodificador OF1.5 intenta utilizar el tipo y comando antes, cuando puede ser todavía no válido. Esto provoca un fallo de aserción (mediante OVS_NOT_REACHED). ovs-vswitchd tiene deshabilitado el soporte para OpenFlow 1.5 por defecto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2021
Suscribirse a Vulnerabilidades