Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función de ejecución en el argumento del comando en curling.js (CVE-2019-10789)
Fecha de publicación:
06/02/2020
Idioma:
Español
Todas las versiones de curling.js son vulnerables a una inyección de comandos por medio de la función de ejecución. El argumento del comando puede ser controlado por los usuarios sin ningún saneamiento.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/02/2020

Vulnerabilidad en peticiones del cliente IPC de tipo "ExportLogs" en el proceso fctsched en FortiClient para Linux (CVE-2019-15711)
Fecha de publicación:
06/02/2020
Idioma:
Español
Una vulnerabilidad de escalada de privilegios en FortiClient para Linux versiones 6.2.1 y posteriores, puede permitir a un usuario con privilegios bajos ejecutar comandos del sistema con privilegios de root mediante una inyección de peticiones del cliente IPC de tipo "ExportLogs" especialmente diseñadas hacia el proceso fctsched.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en el tmm en el perfil connector en BIG-IP (CVE-2020-5854)
Fecha de publicación:
06/02/2020
Idioma:
Español
En BIG-IP versiones 15.0.0-15.0.1.1, 14.1.0-14.1.2.2, 14.0.0-14.0.1, 13.1.0-13.1.3.1, 12.1.0-12.1.5 y 11.6.0-11.6.5.1, el tmm se bloquea en determinadas circunstancias cuando se usa el perfil connector si una secuencia específica de conexiones es realizada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/08/2023

Vulnerabilidad en la funcionalidad Windows Logon Integration configurada para todas las versiones de BIG-IP Edge Client para Windows (CVE-2020-5855)
Fecha de publicación:
06/02/2020
Idioma:
Español
Cuando la funcionalidad Windows Logon Integration está configurada para todas las versiones de BIG-IP Edge Client para Windows, los usuarios no autorizados que tienen acceso físico a la máquina de un usuario autorizado pueden obtener acceso de shell bajo un usuario no privilegiado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el controlador "xnet" en las instancias de Virtual Edition en Amazon Web Services (AWS) en BIG-IP (CVE-2020-5856)
Fecha de publicación:
06/02/2020
Idioma:
Español
En BIG-IP versiones 15.0.0-15.0.1.1 y 14.1.0-14.1.2.2, mientras se procesa el tráfico específicamente diseñado usando el controlador predeterminado "xnet", las instancias de Virtual Edition alojadas en Amazon Web Services (AWS) pueden experimentar un reinicio de TMM.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en IDs de sesión en la biblioteca session.lua en CGILua (CVE-2014-10400)
Fecha de publicación:
06/02/2020
Idioma:
Español
La biblioteca session.lua en CGILua versiones 5.0.x usa IDs de sesión secuenciales, lo que facilita a atacantes remotos predecir el ID de sesión y secuestrar sesiones arbitrarias. NOTA: esta vulnerabilidad fue SEPARADA de CVE-2014-2875.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2020

Vulnerabilidad en ID de sesión en la biblioteca session.lua en CGILua (CVE-2014-10399)
Fecha de publicación:
06/02/2020
Idioma:
Español
La biblioteca session.lua en CGILua versiones 5.1.x usa el mismo ID para cada sesión, lo que permite a atacantes remotos secuestrar sesiones arbitrarias. NOTA: esta vulnerabilidad fue SEPARADA de CVE-2014-2875.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2020

Vulnerabilidad en datos serializados en la implementación de RichFaces en Nuxeo Platform (CVE-2013-4521)
Fecha de publicación:
06/02/2020
Idioma:
Español
La implementación de RichFaces en Nuxeo Platform versión 5.6.0 anterior a HF27 y versión 5.8.0 anterior a HF-01, no restringe las clases para las que los métodos de deserialización pueden ser llamados, lo que permite a atacantes remotos ejecutar código arbitrario por medio de datos serializados diseñados. NOTA: esta vulnerabilidad puede solaparse con CVE-2013-2165.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/02/2020

Vulnerabilidad en La biblioteca session.lua en CGILua (CVE-2014-2875)
Fecha de publicación:
06/02/2020
Idioma:
Español
La biblioteca session.lua en CGILua 5.2 alpha 1 y 5.2 alpha 2 utiliza ID de sesión débiles generadas en función del tiempo del sistema operativo, lo que permite a los atacantes remotos secuestrar sesiones arbitrarias a través de un ataque de fuerza bruta. NOTA: CVE-2014-10399 y CVE-2014-10400 fueron DIVIDIDOS de esta ID.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en la configuración de credenciales de inicio de sesión en la GUI en Dedicated Micros DV-IP Express, SD Advanced, SD, EcoSense y DS2 (CVE-2015-2909)
Fecha de publicación:
06/02/2020
Idioma:
Español
Dedicated Micros DV-IP Express, SD Advanced, SD, EcoSense y DS2 se basan en una advertencia de la GUI para ayudar a garantizar que el administrador configure las credenciales de inicio de sesión, lo que facilita a atacantes remotos obtener acceso mediante el aprovechamiento de situaciones en las que a esta advertencia no se le prestó atención. NOTA: el proveedor declara "El usuario se le presentan advertencias claras en la GUI de que deben configurar los nombres de usuario y contraseñas".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/02/2020

Vulnerabilidad en nghttp2 (CVE-2016-1544)
Fecha de publicación:
06/02/2020
Idioma:
Español
nghttp2 versiones anteriores a 1.7.1, permite a atacantes remotos causar una denegación de servicio (agotamiento de la memoria).
Gravedad CVSS v3.1: BAJA
Última modificación:
10/02/2020

Vulnerabilidad en una imagen PSD en el archivo coders/psd.c en la función WritePSDImage en ImageMagick (CVE-2014-2030)
Fecha de publicación:
06/02/2020
Idioma:
Español
Un desbordamiento del búfer en la región stack de la memoria en la función WritePSDImage en el archivo coders/psd.c en ImageMagick, posiblemente versión 6.8.8-5, permite a atacantes remotos causar una denegación de servicio (bloqueo) y posiblemente ejecutar código arbitrario por medio de una imagen PSD diseñada, que involucra la cadena L%06ld, una vulnerabilidad diferente de CVE-2014-1947.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2020
Suscribirse a Vulnerabilidades