Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Junos OS (CVE-2019-0028)
Fecha de publicación:
10/04/2019
Idioma:
Español
En los dispositivos Junos con el modo de ayuda de reinicio de BGP (Border Gateway Protocol) habilitado o el mecanismo de reinicio de BGP habilitado, un reinicio de sesión de BGP en un par remoto que tenga habilitado el mecanismo de reinicio de BGP puede provocar que el proceso local de RPD (Routing Protocol Daemon) se bloquee y se reinicie. Al simular un reinicio de sesión BGP específico, un atacante puede bloquear repetidamente el proceso RPD causando una denegación de servicio (DoS) prolongada. El modo de ayuda para el reinicio de BGP está habilitado de forma predeterminada. Ningún otro producto o plataforma de Juniper Networks se ve afectado por este problema. Las versiones afectadas son el de Juniper Networks Junos OS son: 16.1 versiones anteriores a 16.1R7; 16.1X65 versiones anteriores a 16.1X65-D48; 16.2 versiones anteriores a 16.2R2-S8; 17.1 versiones anteriores a 17.1R2-S7, 17.1R3; 17.2 versiones anteriores a 17.2R1-S7, 17.2R3; versiones 17.2X75 anteriores a 17.2X75-D92, 17.2X75-D102, 17.2X75-D110; versiones 17.3 anteriores a 17.3R2-S2, 17.3R3; versiones 17.4 anteriores a 17.4R1-S4, 17.4R2; versiones 18.1 anteriores a 18.1R2. Las versiones de Junos OS anteriores a la 16.1R1 no se ven afectadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2022

Vulnerabilidad en jdhcpd de DHCPv6 (CVE-2019-0037)
Fecha de publicación:
10/04/2019
Idioma:
Español
En un entorno de Protocolo de configuración dinámica de host versión 6 (DHCPv6), el demonio jdhcpd puede bloquearse y reiniciarse al recibir ciertos mensajes de solicitud de DHCPv6 de un cliente DHCPv6. Al enviar continuamente el mismo paquete especialmente modificado, un atacante puede bloquear repetidamente el proceso jdhcpd, causando una denegación de servicio (DoS) sostenida tanto a clientes IPv4 como IPv6. Las versiones afectadas son el Juniper Networks Junos OS: 15.1 versiones anteriores a 15.1F6-S12, 15.1R7-S3; 15.1X49 versiones anteriores a 15.1X49-D171, 15.1X49-D180; 15.1X53 versiones anteriores a 15.1X53-D236, 15.1X53-D496; 16.1 versiones anteriores a 16.1R3-S10, 16.1R7-S4; 16.2 versiones anteriores a 16.2R2-S8; 17.1 versiones anteriores a 17.1R2-S10, 17.1R3; 17.2 versiones anteriores a 17.2R1-S8, 17.2R3-S1; 17.3 versiones anteriores a 17.3R3-S3; 17.4 versiones anteriores a 17.4R1-S6, 17.4R2-S3; 18.1 versiones anteriores a 18.1R2-S4, 18.1R3-S2; 18.2 versiones anteriores a 18.2R2; 18.2X75 versiones anteriores a 18.2X75-D30; 18.3 versiones anteriores a 18.3R1-S2. Este problema no afecta a las versiones del Junos OS anteriores a la 15.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/04/2022

Vulnerabilidad en Juniper Networks Junos OS (CVE-2019-0038)
Fecha de publicación:
10/04/2019
Idioma:
Español
Los paquetes creados destinados a la interfaz de gestión (fxp0) de una pasarela de servicios SRX340 o SRX345 pueden crear una condición de denegación de servicio (DoS) debido al agotamiento del espacio de búfer. Este problema sólo afecta a las pasarelas de servicios SRX340 y SRX345. Ningún otro producto o plataforma se ve afectado por esta vulnerabilidad. Las versiones afectadas son el Juniper Networks Junos OS: Versiones 15.1X49 anteriores a 15.1X49-D160 en SRX340/SRX345; 17.3 en SRX340/SRX345; 17.4 versiones anteriores a 17.4R2-S3, 17.4R3 en SRX340/SRX345; 18.1 versiones anteriores a 18.1R3-S1 en SRX340/SRX345; 18.2 versiones anteriores a 18.2R2 en SRX340/SRX345; 18.3 versiones anteriores a 18.3R1-S2, 18.3R2 en SRX340/SRX345. Este problema no afecta a las versiones del Junos OS anteriores a 15.1X49 en ninguna plataforma.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2021

Vulnerabilidad en Juniper Networks Junos OS (CVE-2019-0039)
Fecha de publicación:
10/04/2019
Idioma:
Español
Si la API REST está activada, las credenciales de inicio de sesión en Junos OS son vulnerables a los ataques por fuerza bruta. El alto límite de conexiones por defecto en la API REST, puede permitir que un atacante aplique fuerza bruta a las contraseñas mediante técnicas avanzadas de secuencias de comandos. Además, los administradores que utilizan una política de contraseñas seguras, tienen mayores probabilidades de que los ataques por fuerza bruta tenga éxito. Las versiones afectadas son Juniper Networks Junos OS: Versiones 14.1X53 anteriores a 14.1X53-D49; versiones 15.1 anteriores a 15.1F6-S12, 15.1R7-S3; versiones 15.1X49 anteriores a 15.1X49-D160; versiones 15.1X53 anteriores a 15.1X53-D236, 15.1X53-D495, 15.1X53-D591, 15.1X53-D69; 16.1 versiones anteriores a 16.1R3-S10, 16.1R4-S12, 16.1R6-S6, 16.1R7-S3; 16.1X65 versiones anteriores a 16.1X65-D49; 16.2 versiones anteriores a 16.2R2-S7; 17.1 versiones anteriores a 17.1R2-S10, 17.1R3; 17.2 versiones anteriores a 17.2R1-S8, 17.2R3-S1; 17.3 versiones anteriores a 17.3R3-S2; 17.4 versiones anteriores a 17.4R1-S6, 17.4R2-S2; versiones 18.1 anteriores a 18.1R2-S4, 18.1R3-S1; versiones 18.2 anteriores a 18.2R1-S5; versiones 18.2X75 anteriores a 18.2X75-D30 y versiones 18.3 anteriores a 18.3R1-S1.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2024

Vulnerabilidad en Juniper Identity Management Service (CVE-2019-0042)
Fecha de publicación:
10/04/2019
Idioma:
Español
El Juniper Identity Management Service (JIMS) para versiones de Windows anteriores a 1.1.4 puede enviar un mensaje de manera inapropiada a las puertas de enlace de servicios SRX asociadas. Esto puede permitir que un atacante con acceso físico a un dominio existente conectado al sistema Windows omita las políticas de firewall SRX, o desencadene una condición de Denegación de Servicio (DoS) para la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2021

Vulnerabilidad en Junos OS Packet Forwarding Engine manager (FXPC) (CVE-2019-0008)
Fecha de publicación:
10/04/2019
Idioma:
Español
Una cierta secuencia de paquetes BGP o IPv6 BFD válidos puede desencadenar un desbordamiento de búfer basado en pila en Junos OS Packet Forwarding Engine manager (FXPC), en dispositivos de las series QFX5000, EX4300, EX4600. Este problema puede resultar en un fallo del demonio fxpc o puede llevar a la ejecución remota del código. Las versiones afectadas son Juniper Networks y Junos OS en QFX serie 5000, EX4300, EX4600: 14.1X53; 15.1X53 versiones anteriores a 15.1X53-D235; 17.1 versiones anteriores a 17.1R3; 17.2 versiones anteriores a 17.2R3; 17.3 versiones anteriores a 17.3R3-S2, 17.3R4; 17.4 versiones anteriores a 17.4R2-S1, 17.4R3; 18.1 versiones anteriores a 18.1R3-S1, 18.1R4; 18.2 versiones anteriores a 18.2R2; 18.2X75 versiones anteriores a 18.2X75-D30; 18.3 versiones anteriores a 18.3R2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2021

Vulnerabilidad en cortafuegos de Junos OS (CVE-2019-0036)
Fecha de publicación:
10/04/2019
Idioma:
Español
Cuando se configura un filtro de cortafuegos sin estado en Junos OS, los términos nombrados con el formato "internal-n" (por ejemplo, "internal-1", "internal-2", etc.) se ignoran en silencio. No se emite ninguna advertencia durante la configuración, y la configuración se realiza sin errores, pero los criterios de filtrado coincidirán con todos los paquetes, lo que dará lugar a resultados inesperados. Las versiones afectadas de Juniper Networks Junos OS son: todas las versiones anteriores e incluyendo 12.3; 14.1X53 versiones anteriores a 14.1X53-D130, 14.1X53-D49; 15.1 versiones anteriores a 15.1F6-S12, 15.1R7-S4; 15.1X49 versiones anteriores a 15.1X49-D161, 15.1X49-D170; 15.1X53 versiones anteriores a 15.1X53-D236, 15.1X53-D496, 15.1X53-D69; 16.1 versiones anteriores a 16.1R7-S4, 16.1R7-S5; 16.2 versiones anteriores a 16.2R2-S9; 17.1 versiones anteriores a 17.1R3; 17.2 versiones anteriores a 17.2R1-S8, 17.2R3-S1; 17.3 versiones anteriores a 17.3R3-S4; 17.4 versiones anteriores a 17.4R1-S7, 17.4R2-S3; 18.1 versiones anteriores a 18.1R2-S4, 18.1R3-S4; 18.2 versiones anteriores a 18.2R1-S5, 18.2R2-S1; 18.2X75 versiones anteriores a 18.2X75-D40; 18.3 versiones anteriores a 18.3R1-S3; 18.4 versiones anteriores a 18.4R1-S1, 18.4R1-S2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/02/2021

Vulnerabilidad en Junos OS (CVE-2019-0031)
Fecha de publicación:
10/04/2019
Idioma:
Español
Los paquetes DHCP IPv6 específicos recibidos por el demonio jdhcpd causarán un problema de consumo de recursos de memoria en un dispositivo Junos OS que utiliza el demonio jdhcpd configurado para responder a las peticiones de IPv6. Una vez iniciado, el consumo de memoria afectará eventualmente a cualquier petición de IPv4 o IPv6 a la que da servicio el demonio jdhcpd, creando así una condición de Denegación de Servicio (DoS) para los clientes que solicitan y no reciben direcciones IP. Además, algunos clientes que anteriormente tenían direcciones IPv6 no tendrán su dirección de Asociación de Identidad (IA) IPv6 y tablas de red acordadas por el demonio jdhcpd después de que ocurra el evento de conmutación por error, lo que conlleva a más de una interfaz y múltiples direcciones IP, siendo negado en el cliente. Las versiones afectadas son Junos Networks Junos OS: 17.4 versiones anteriores a 17.4R2; 18.1 versiones anteriores a 18.1R2.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/09/2020

Vulnerabilidad en Joomla! (CVE-2019-10945)
Fecha de publicación:
10/04/2019
Idioma:
Español
Un problema fue descubierto en Joomla! versiones anteriores a 3.9.5. El componente de Administrador de medios no valida correctamente el parámetro de carpeta, lo que permite a los atacantes actuar fuera del directorio root del administrador de medios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/04/2019

Vulnerabilidad en Joomla! (CVE-2019-10946)
Fecha de publicación:
10/04/2019
Idioma:
Español
Se descubrió un problema en Joomla! versión anterior al 3.9.5. El endpoint "refresh list of helpsites" del componente com_users carece de controles de acceso, lo que permite realizar llamadas de usuarios no autorizados.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

CVE-2019-0208
Fecha de publicación:
10/04/2019
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2019. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Magento (CVE-2019-7139)
Fecha de publicación:
10/04/2019
Idioma:
Español
Un usuario no autenticado puede ejecutar sentencias SQL que permiten el acceso de lectura arbitraria a la base de datos subyacente, lo que provoca una fuga de datos confidenciales. Este problema se solucionó en Magento 2.1 versiones anteriores a 2.1.18, Magento 2.2 versiones anteriores a 2.2.9, Magento 2.3 versiones anteriores a 2.3.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/08/2019
Suscribirse a Vulnerabilidades