Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en El cliente TeamSpeak (CVE-2019-15502)
Fecha de publicación:
29/08/2019
Idioma:
Español
El cliente TeamSpeak versiones anteriores a 3.3.2, permite a los servidores remotos activar un bloqueo por medio de la secuencia de bytes 0xe2 0x81 0xa8 0xe2 0x81 0xa7, también se conoce como caracteres Unicode U+2068 (FIRST STRONG ISOLATE) y U+2067 (RIGHT-TO-LEFT ISOLATE).
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en el Perfil de Usuario de Restauración (RSTUSRPRF) en IBM i (CVE-2019-4536)
Fecha de publicación:
29/08/2019
Idioma:
Español
Los usuarios de IBM i versión 7.4 que han realizado un Perfil de Usuario de Restauración (RSTUSRPRF) en un sistema que ha sido configurado con Db2 Mirror para i podría tener perfiles de usuario con privilegios elevados causados ??por un procesamiento incorrecto durante una restauración de múltiples perfiles de usuario. Un usuario con privilegios de restauración podría explotar esta vulnerabilidad para obtener privilegios elevados sobre el sistema restaurado. ID de IBM X-Force: 165592.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/12/2022

Vulnerabilidad en (install-directory)/confluence/WEB-INF en Confluence Server y Confluence Data Center. (CVE-2019-3394)
Fecha de publicación:
29/08/2019
Idioma:
Español
Hay una vulnerabilidad de divulgación de archivos locales en Confluence Server y Confluence Data Center por medio de la exportación de página. Un atacante con permiso para editar una página puede explotar este problema para leer archivos arbitrarios en el servidor bajo el directorio (install-directory)/confluence/WEB-INF, que puede contener archivos de configuración utilizados para integrarse con otros servicios, que podrían potencialmente filtrar credenciales u otra información confidencial como credenciales de LDAP. La credencial de LDAP será filtrada potencialmente solo si el servidor Confluence está configurado para usar LDAP como repositorio de usuarios. Todas las versiones de Confluence Server desde 6.1.0 anteriores a 6.6.16 (la versión corregida para 6.6.x), desde versiones 6.7.0 anteriores a 6.13.7 (la versión corregida para 6.13.x) y desde versiones 6.14.0 anteriores a 6.15.8 (la versión corregida para 6.15.x) están afectadas por esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2021

Vulnerabilidad en IBM Cloud Automation Manager. (CVE-2019-4132)
Fecha de publicación:
29/08/2019
Idioma:
Español
IBM Cloud Automation Manager versión 3.1.2, podría permitir que un usuario sea redireccionado inapropiadamente y obtenga información confidencial en lugar de recibir un mensaje de error 404. ID de IBM X-Force: 158274.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/12/2022

Vulnerabilidad en IBM Cloud Automation Manager (CVE-2019-4133)
Fecha de publicación:
29/08/2019
Idioma:
Español
IBM Cloud Automation Manager 3.1.2 podría permitir a un usuario malicioso del lado del cliente (con acceso a la computadora del cliente) ejecutar un script personalizado. ID de IBM X-Force: 158278.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2022

Vulnerabilidad en el archivo ~/.apport-ignore.xml en Apport (CVE-2019-7307)
Fecha de publicación:
29/08/2019
Idioma:
Español
Apport versiones anteriores a 2.14.1-0ubuntu3.29 + esm1, 2.20.1-0ubuntu2.19, 2.20.9-0ubuntu7.7, 2.20.10-0ubuntu27.1, 2.20.11-0ubuntu5 contenían una vulnerabilidad TOCTTOU cuando leen los usuarios el archivo ~/.apport-ignore.xml, que permite a un atacante local reemplazar este archivo con un enlace simbólico en cualquier otro archivo sobre el sistema y, por lo tanto, causar que Apport incluya el contenido de este otro archivo en el reporte del bloqueo resultante. El reporte de bloqueo podría ser leído por ese usuario provocando que sea cargado y reportado para Launchpad, o aprovechando alguna otra vulnerabilidad para leer el reporte de bloqueo resultante, y así permitir al usuario leer archivos arbitrarios en el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2023

Vulnerabilidad en whoopsie. (CVE-2019-11476)
Fecha de publicación:
29/08/2019
Idioma:
Español
Un desbordamiento de enteros en whoopsie versiones anteriores a 0.2.52.5ubuntu0.1, 0.2.62ubuntu0.1, 0.2.64ubuntu0.1, 0.2.66, lo que resulta en una escritura fuera de límites en un búfer asignado de la pila cuando se procesan volcados por bloqueos largos. Esto resulta en un bloqueo o una posible ejecución de código en el contexto del proceso de whoopsie.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2023

Vulnerabilidad en cadenas entre comillas en Dovecot (CVE-2019-11500)
Fecha de publicación:
29/08/2019
Idioma:
Español
En Dovecot versiones anteriores a 2.2.36.4 y versiones 2.3.x anteriores a 2.3.7.2 (y Pigeonhole versiones anteriores a 0.5.7.2), el procesamiento del protocolo puede fallar para cadenas entre comillas. Esto ocurre porque los caracteres '\0' se manejan inapropiadamente y pueden generar escrituras fuera de límites y ejecución de código remota.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en FontForge (CVE-2019-15785)
Fecha de publicación:
29/08/2019
Idioma:
Español
FontForge versión 20190813 hasta la versión 20190820 tiene un desbordamiento de búfer en la función PrefsUI_LoadPrefs en el archivo prefs.c.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/01/2020

Vulnerabilidad en el tomacorriente inteligente Eques elf y la aplicación móvil. (CVE-2019-15745)
Fecha de publicación:
29/08/2019
Idioma:
Español
El tomacorriente inteligente Eques elf y la aplicación móvil utilizan una clave embebida AES de 256 bits para cifrar los comandos y las respuestas entre el dispositivo y la aplicación. La comunicación se realiza por medio del puerto UDP 27431. Un atacante sobre la red local puede usar la misma clave para encriptar y enviar comandos para detectar todos los toma corrientes inteligentes en una red, tomar el control de un dispositivo y realizar acciones como encenderlo y apagarlo.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2019

Vulnerabilidad en El plugin woo-variación-galería (CVE-2019-15778)
Fecha de publicación:
29/08/2019
Idioma:
Español
El plugin woo-variación-galería versiones anteriores a 1.1.29 para WordPress, tiene una vulnerabilidad de tipo XSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/09/2019

Vulnerabilidad en un paquete rx en ROBOTIS Dynamixel SDK (CVE-2019-15786)
Fecha de publicación:
29/08/2019
Idioma:
Español
ROBOTIS Dynamixel SDK versiones hasta 3.7.11, presenta un desbordamiento del búfer por medio de un paquete rx grande.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/09/2019
Suscribirse a Vulnerabilidades