Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zimbra Collaboration (CVE-2019-11318)
Fecha de publicación:
27/01/2020
Idioma:
Español
Zimbra Collaboration versiones anteriores a 8.8.12 Patch 1, presenta una vulnerabilidad de tipo XSS persistente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2020

Vulnerabilidad en la Consola de Administración en Zimbra Collaboration (CVE-2019-12427)
Fecha de publicación:
27/01/2020
Idioma:
Español
En Zimbra Collaboration versiones anteriores a 8.8.15 Patch 1, es vulnerable a un ataque de tipo XSS no persistente por medio de la Consola de Administración.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2020

Vulnerabilidad en STARTTLS en Synacor Zimbra Collaboration (CVE-2014-8563)
Fecha de publicación:
27/01/2020
Idioma:
Español
Synacor Zimbra Collaboration versiones anteriores a 8.0.9, permite una inyección de comandos de texto plano durante STARTTLS.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2020

Vulnerabilidad en el registro RMI en la interfaz JMX en Pivotal tc Server y Pivotal tc Runtimes (CVE-2019-11288)
Fecha de publicación:
27/01/2020
Idioma:
Español
En Pivotal tc Server, versiones 3.x anteriores versiones hasta 3.2.19 y versiones 4.x anteriores versiones hasta 4.0.10, y Pivotal tc Runtimes, versiones 7.x anteriores a 7.0.99.B, versiones 8.x anteriores a 8.5.47.A y versiones 9.x anteriores a 9.0.27.A, cuando una instancia de tc Runtime es configurada con el JMX Socket Listener, un atacante local sin acceso al proceso de tc Runtime o a los archivos de configuración es capaz de manipular el registro RMI para llevar a cabo un ataque de tipo man-in-the-middle para capturar nombres de usuario y contraseñas usadas para acceder a la interfaz JMX. El atacante puede utilizar estas credenciales para acceder a la interfaz JMX y conseguir un control completo sobre la instancia de tc Runtime.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/11/2021

Vulnerabilidad en el URI boafrm/formSysCmd en el parámetro sysCmd en determinados enrutadores basados ??en TOTOLINK Realtek SDK (CVE-2019-19824)
Fecha de publicación:
27/01/2020
Idioma:
Español
En determinados enrutadores basados ??en TOTOLINK Realtek SDK, un atacante autenticado puede ejecutar comandos arbitrarios de Sistema Operativo por medio del parámetro sysCmd en el URI boafrm/formSysCmd, inclusive si la GUI (syscmd.htm) no está disponible. Esto permite un control total sobre los internos del dispositivo. Esto afecta a A3002RU versiones hasta 2.0.0, A702R versiones hasta 2.1.3, N301RT versiones hasta 2.1.6, N302R versiones hasta 3.4.0, N300RT versiones hasta 3.4.0, N200RE versiones hasta 4.0.0, N150RT versiones hasta 3.4.0 y N100RE versiones hasta 3.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/08/2024

Vulnerabilidad en un archivo DLL en el archivo EPSecurityService.exe usado en Bitdefender Endpoint Security Tools (CVE-2019-17099)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de Ruta de Búsqueda No Confiable en el archivo EPSecurityService.exe como es usado en Bitdefender Endpoint Security Tools versiones anteriores a 6.6.11.163, permite a un atacante cargar un archivo DLL arbitrario desde la ruta de búsqueda. Este problema afecta a: EPSecurityService.exe de Bitdefender versiones anteriores a 6.6.11.163.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2020

Vulnerabilidad en la URL de firmware de producción en el método de la API "/api/download_image" en la etapa de arranque de Bitdefender BOX 2 (CVE-2019-17095)
Fecha de publicación:
27/01/2020
Idioma:
Español
Se ha detectado una vulnerabilidad de inyección de comandos en la etapa de arranque de Bitdefender BOX 2, versiones 2.1.47.42 y 2.1.53.45. El método de la API "/api/download_image" maneja de manera no segura la URL de firmware de producción suministrada por servidores remotos, conllevando a una ejecución arbitraria de comandos de sistema. A fin de explotar la condición, un atacante no autenticado debe hacerse pasar por un servidor de infraestructura para desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/02/2020

Vulnerabilidad en contraseñas administrativas en determinada interfaz de administración de enrutador (que incluye Realtek para Boa) (CVE-2019-19823)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una determinada interfaz de administración de enrutador (que incluye Realtek APMIB versión 0.11f para Boa versión 0.94.14rc21), almacena contraseñas administrativas de texto sin cifrar en la memoria flash y en un archivo. Esto afecta a TOTOLINK A3002RU versiones hasta 2.0.0, A702R versiones hasta 2.1.3, N301RT versiones hasta 2.1.6, N302R versiones hasta 3.4.0, N300RT versiones hasta 3.4.0, N200RE versiones hasta 4.0.0, N150RT versiones hasta 3.4.0 y N100RE versiones hasta 3.4. 0; Rutek RTK 11N AP hasta el 12-12-2019; Sapido GR297n hasta el 12-12-2019; ROUTER CIK TELECOM MESH hasta 12-12-2019; KCTVJEJU Wireless AP hasta el 12-12-2019; Fibergate FGN-R2 hasta el 12-12-2019; Hi-Wifi MAX-C300N hasta el 12-12-2019; HCN MAX-C300N hasta el 12-12-2019; GN-866ac T-wide hasta el 12-12-2019; Coship EMTA AP hasta el 12-12-2019; y IO-Data WN-AC1167R hasta el 12-12-2019.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/02/2020

Vulnerabilidad en el componente libbelkin_api.so del firmware de Belkin WeMo Insight Switch (CVE-2019-17094)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de desbordamiento del búfer en la región stack de la memoria en el componente libbelkin_api.so del firmware de Belkin WeMo Insight Switch, permite a un atacante local obtener una ejecución de código sobre el dispositivo. Este problema afecta a: Belkin WeMo Insight Switch, versión de firmware 2.00.11396 y versiones anteriores.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2020

Vulnerabilidad en la configuración de determinada interfaz de administración de enrutador (que incluye Realtek APMIB para Boa) (CVE-2019-19822)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una determinada interfaz de administración de enrutador (que incluye Realtek APMIB versión 0.11f para Boa versión 0.94.14rc21), permite a atacantes remotos recuperar la configuración, incluidos los datos confidenciales (nombres de usuario y contraseñas). Esto afecta a TOTOLINK A3002RU versiones hasta 2.0.0, A702R versiones hasta 2.1.3, N301RT versiones hasta 2.1.6, N302R versiones hasta 3.4.0, N300RT versiones hasta 3.4.0, N200RE versiones hasta 4.0.0, N150RT versiones hasta 3.4.0 y N100RE versiones hasta 3.4. 0; Rutek RTK 11N AP hasta el 12-12-2019; Sapido GR297n hasta el 12-12-2019; ROUTER CIK TELECOM MESH hasta el 12-12-2019; KCTVJEJU Wireless AP hasta el 12-12-2019; Fibergate FGN-R2 hasta el 12-12-2019; Hi-Wifi MAX-C300N hasta el 12-12-2019; HCN MAX-C300N hasta el 12-12-2019; GN-866ac T-wide hasta el 12-12-2019; Coship EMTA AP hasta el 12-12-2019; y IO-Data WN-AC1167R hasta el 12-12-2019.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en vectores no especificados en el servlet ReportDownloadServlet en Lexmark MarkVision Enterprise (CVE-2014-8742)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de salto de directorio en el servlet ReportDownloadServlet en Lexmark MarkVision Enterprise versiones anteriores a 2.1, permite a atacantes remotos leer archivos arbitrarios por medio de vectores no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2020

Vulnerabilidad en vectores no especificados en el servlet GfdFileUploadServerlet en Lexmark MarkVision Enterprise (CVE-2014-8741)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de salto de directorio en el servlet GfdFileUploadServerlet en Lexmark MarkVision Enterprise versiones anteriores a 2.1, permite a atacantes remotos escribir en archivos arbitrarios por medio de vectores no especificados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2020
Suscribirse a Vulnerabilidades