Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la interfaz de administración de Zingbox Inspector (CVE-2019-15016)
Fecha de publicación:
09/10/2019
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en la interfaz de administración de Zingbox Inspector versiones 1.288 y anteriores, lo que permite que los datos no saneados provistos por un usuario autenticado sean pasados desde la interfaz de usuario web hacia la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2023

Vulnerabilidad en el servicio SSH en el Zingbox Inspector (CVE-2019-15017)
Fecha de publicación:
09/10/2019
Idioma:
Español
El servicio SSH está habilitado en el Zingbox Inspector versiones 1.294 y anteriores, exponiendo SSH a la red local. Cuando se combina con PAN-SA-2019-0027, esto puede permitir a un atacante autenticarse en el servicio usando credenciales embebidas.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2023

Vulnerabilidad en la instancia de Inspector en Zingbox Inspector (CVE-2019-15018)
Fecha de publicación:
09/10/2019
Idioma:
Español
Se presenta una vulnerabilidad de seguridad en Zingbox Inspector versiones 1.280 y anteriores, donde no se requiere autenticación cuando se vincula la instancia de Inspector a un inquilino cliente diferente.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/02/2023

Vulnerabilidad en la línea de comandos en iTerm2 integrada con el modo de control de tmux (CVE-2019-9535)
Fecha de publicación:
09/10/2019
Idioma:
Español
Se presenta una vulnerabilidad en la manera en que iTerm2 se integra con el modo de control de tmux, lo que puede permitir a un atacante ejecutar comandos arbitrarios al proporcionar una salida maliciosa al terminal. Esto afecta a versiones de iTerm2 hasta 3.3.5 incluyéndola. Esta vulnerabilidad puede permitir a un atacante ejecutar comandos arbitrarios en la computadora de su víctima al proporcionar una salida maliciosa al terminal. Podría ser explotada utilizando recursos de la línea de comandos que imprimen contenido controlado por el atacante.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en las copias de seguridad en Dell EMC Avamar Server y Dell EMC Integrated Data Protection Appliance (IDPA) (CVE-2019-3765)
Fecha de publicación:
09/10/2019
Idioma:
Español
Dell EMC Avamar Server versiones 7.4.1, 7.5.0, 7.5.1, 18.2 y 19.1 y Dell EMC Integrated Data Protection Appliance (IDPA) versiones 2.0, 2.1, 2.2, 2.3 y 2.4, contienen una Asignación de Permisos Incorrecta para una vulnerabilidad de Recursos Críticos. Un usuario malicioso autenticado remoto podría explotar esta vulnerabilidad para visualizar o modificar datos confidenciales de respaldo. Esto podría usarse para corromper las copias de seguridad o para engañar potencialmente a un usuario para que restaure una copia de seguridad con archivos maliciosos en su lugar.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/10/2019

Vulnerabilidad en MantisBT (CVE-2019-15715)
Fecha de publicación:
09/10/2019
Idioma:
Español
MantisBT versiones anteriores a 1.3.20 y 2.22.1, permite la Inyección de Comandos de Autenticación Post, lo que conlleva a la Ejecución de Código Remota.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2023

Vulnerabilidad en OpenSSH compila con un tipo de clave experimental (CVE-2019-16905)
Fecha de publicación:
09/10/2019
Idioma:
Español
OpenSSH 7.7 a 7.9 y 8.x anterior de la versión 8.1, cuando se compila con un tipo de clave experimental, tiene un desbordamiento de entero de identificación previa si un cliente o servidor está configurado para usar una clave XMSS especialmente diseñada. Esto conduce a la corrupción de la memoria y la ejecución del código local debido a un error en el algoritmo de análisis de claves XMSS. NOTA: la implementación de XMSS se considera experimental en todas las versiones de OpenSSH lanzadas, y no hay una forma compatible para habilitarla al crear OpenSSH portátil.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en el archivo de configuración del servidor de correo en Zoho ManageEngine DataSecurity Plus (CVE-2019-17112)
Fecha de publicación:
09/10/2019
Idioma:
Español
Se detectó un problema en Zoho ManageEngine DataSecurity Plus versiones anteriores a 5.0.1 5012. Un servicio expuesto permite que un usuario básico (nivel de acceso "Operator") acceda al archivo de configuración del servidor de correo (excepto para la contraseña).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/11/2019

Vulnerabilidad en la plataforma NFX en Juniper Networks Junos OS (CVE-2019-0070)
Fecha de publicación:
09/10/2019
Idioma:
Español
Una debilidad de Validación de Entrada Inapropiada permite a un atacante local malicioso elevar sus permisos para tomar el control de otras partes de la plataforma NFX a las que no debería poder acceder y ejecutar comandos fuera de su alcance de control autorizado. Esto conlleva al atacante a tomar el control de todo el sistema. Este problema afecta: Juniper Networks Junos OS versiones anteriores a 18.2R1 en la serie NFX.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2021

Vulnerabilidad en Veriexec en plataformas específicas de la Serie EX en Juniper Networks Junos OS (CVE-2019-0071)
Fecha de publicación:
09/10/2019
Idioma:
Español
Veriexec es un subsistema de integridad de archivos basado en el kernel en el sistema operativo Junos que asegura que solo puedan ser ejecutados los archivos binarios autorizados. Debido a un fallo en versiones específicas del sistema operativo Junos, que afecta a plataformas específicas de la Serie EX, el subsistema Veriexec no se inicializará, lo que esencialmente deshabilitará la comprobación de integridad de archivos. Esto puede permitir a un usuario autenticado localmente con acceso de shell instalar imágenes ejecutables no confiables y elevar los privilegios para conseguir el control total del sistema. Durante la instalación de una versión afectada del sistema operativo Junos, los siguientes mensajes se registrarán en la consola: Initializing Verified Exec: /sbin/veriexec: Undefined symbol "__aeabi_uidiv" /sbin/veriexec: Undefined symbol "__aeabi_uidiv" /sbin/veriexec: Undefined symbol "__aeabi_uidiv" veriexec: /.mount/packages/db/os-kernel-prd-arm-32-20190221.70c2600_builder_stable_11/boot/brcm-hr3.dtb: Authentication error veriexec: /.mount/packages/db/os-kernel-prd-arm-32-20190221.70c2600_builder_stable_11/boot/contents.izo: Authentication error ... Este problema afecta a Juniper Networks Junos OS: versión 18.1R3-S4 en EX2300, EX2300-C y EX3400; versión 18.3R1-S3 en EX2300, EX2300-C y EX3400.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/09/2020

Vulnerabilidad en Juniper Networks SBR Carrier (CVE-2019-0072)
Fecha de publicación:
09/10/2019
Idioma:
Español
Una vulnerabilidad de Almacenamiento No Protegido de Credenciales en el procedimiento de generación de certificados de administración de identidad y acceso, permite a un atacante local conseguir acceso a información confidencial. Este problema afecta a: Juniper Networks SBR Carrier: versiones 8.4.1 anteriores a 8.4.1R13; versiones 8.5.0 anteriores a 8.5.0R4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2019

Vulnerabilidad en las claves PKI exportadas con el comando "run request security pki key-pair export" en Juniper Networks Junos OS (CVE-2019-0073)
Fecha de publicación:
09/10/2019
Idioma:
Español
Las claves PKI exportadas utilizando el comando "run request security pki key-pair export" en el Junos OS pueden tener permisos de archivo no seguros. Esto puede permitir que otro usuario sobre el dispositivo con sistema operativo Junos con acceso de shell pueda leerlos. Este problema afecta a: Juniper Networks Junos OS versiones 15.1X49 anteriores a 15.1X49-D180; versiones 17.3 anteriores a 17.3R3-S7; versiones 17.4 anteriores a 17.4R2-S8, 17.4R3; versiones 18.1 anteriores a 18.1R3-S8; versiones 18.2 anteriores a 18.2R3; versiones 18.3 anteriores a 18.3R2; versiones 18.4 anteriores a 18.4R2.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2021
Suscribirse a Vulnerabilidades