Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en KDE Trojita (CVE-2019-10734)
Fecha de publicación:
07/04/2019
Idioma:
Español
En KDE Trojita 0.7, un atacante que posea correos electrónicos cifrados en S/MIME o PGP puede envolverlos como subpartes de un correo electrónico multiparte manipulado. La(s) parte(s) cifrada(s) se puede(n) ocultar aún más utilizando caracteres de nuevas líneas ASCII o HTML/CSS. Este correo electrónico multiparte manipulado puede ser reenviado por el atacante al destinatario previsto. Si el destinatario responde a este correo (de aspecto benigno), estaría filtrando el texto plano de algunas partes del mensaje cifrado sin querer, devolviéndoselas al atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en Claws Mail (CVE-2019-10735)
Fecha de publicación:
07/04/2019
Idioma:
Español
En Claws Mail 3.14.1 un atacante que posea correos electrónicos cifrados en S/MIME o PGP puede envolverlos como subpartes de un correo electrónico multiparte manipulado. La(s) parte(s) cifrada(s) se puede(n) ocultar aún más utilizando caracteres de nuevas líneas ASCII o HTML/CSS. Este correo electrónico multiparte manipulado puede ser reenviado por el atacante al destinatario previsto. Si el destinatario responde a este correo (de aspecto benigno), estaría filtrando el texto plano de algunas partes del mensaje cifrado sin querer, devolviéndoselas al atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en Roundcube Webmail (CVE-2019-10740)
Fecha de publicación:
07/04/2019
Idioma:
Español
En Roundcube Webmail en versiones anteriores a la 1.3.10, un atacante en posesión de correos electrónicos cifrados S/MIME o PGP puede envolverlos como subparte dentro de un correo electrónico multiparte diseñado. La(s) parte(s) encriptada(s) puede ocultarse aún más usando caracteres HTML/CSS o de nueva línea ASCII. El atacante puede reenviar este correo electrónico multiparte modificado al destinatario previsto. Si el destinatario responde a este correo electrónico (de aspecto benigno), sin saberlo, filtra el texto plano de la(s) parte(s) del mensaje cifrado al atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en K-9 Mail (CVE-2019-10741)
Fecha de publicación:
07/04/2019
Idioma:
Español
K-9 Mail v5.600 puede incluir el código HTML original entrecomillado de un correo electrónico especialmente manipulado y de aspecto benigno en los mensajes de respuesta (con firma digital). La parte entrecomillada puede contener instrucciones condicionales que muestran un texto completamente distinto si se abre en un cliente de correo electrónico diferente. Un atacante podría aprovechar esto para obtener firmas S/MIME o PGP válidas para que se muestre contenido arbitrario a un tercero. NOTA: el proveedor afirma "No tenemos la intención de emprender ninguna acción por esto".
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/01/2020

Vulnerabilidad en Airsonic (CVE-2019-10908)
Fecha de publicación:
07/04/2019
Idioma:
Español
En Airsonic 10.2.1, RecoverController.java genera contraseñas mediante org.apache.commons.lang.RandomStringUtils que utiliza ava.util.Random internamente. Este Pseudo Random Number Generator (PRNG) tiene una semilla de 48-bit que puede ser sometido fácilmente a un ataque de fuerza bruta, conduciendo a ataques de escalado de privilegios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en Airsonic (CVE-2019-10907)
Fecha de publicación:
07/04/2019
Idioma:
Español
Airsonic 10.2.1 utiliza por defecto el mecanismo remember-me basado en MD5 de Spring con una clave fija de airsonic en GlobalSecurityConfig.java. Un atacante capaz de capturar cookies podría simplemente obtener las contraseñas offline de los usuarios asociados mediante el uso de fuerza bruta.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en Pallets Jinja (CVE-2019-10906)
Fecha de publicación:
07/04/2019
Idioma:
Español
En Pallets Jinja, en versiones anteriores a la 2.10.1, str.format_map permite un escape de sandbox.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Roundup (CVE-2019-10904)
Fecha de publicación:
06/04/2019
Idioma:
Español
Roundup 1.6 permite Cross-Site Scripting (XSS) mediante el URI debido a que frontends/roundup.cgi y roundup/cgi/wsgi_handler.py gestionan los errores 404 de manera incorrecta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/04/2019

Vulnerabilidad en Parsedown (CVE-2019-10905)
Fecha de publicación:
06/04/2019
Idioma:
Español
Parsedown, en versiones anteriores a la 1.7.2, cuando se utiliza en modo seguro y está deshabilitado el marcado HTML, podría permitir que los atacantes ejecuten código arbitrario JavaScript si un script (que ya se está ejecutando en la página afectada) ejecuta el contenido de cualquier elemento con una clase específica. Esto ocurre debido a que se permiten espacios en cadenas de información de bloqueo de código, que interfieren con el comportamiento previsto del nombre de una clase individual con la subcadena language-.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en Trend Micro InterScan Web Security Virtual Appliance (CVE-2019-9490)
Fecha de publicación:
05/04/2019
Idioma:
Español
Una vulnerabilidad en Trend Micro InterScan Web Security Virtual Appliance, en su versión 6.5 SP2, podría permitir a un usuario no autorizado divulgar credenciales administrativas. Un atacante debe ser un usuario autenticado para explotar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en productos de Trend Micro (CVE-2019-9489)
Fecha de publicación:
05/04/2019
Idioma:
Español
Una vulnerabilidad de salto de directorio en Trend Micro Apex One, OfficeScan (en versiones XG y 11.0) y Worry-Free Business Security (en versiones 10.0, 9.5 y 9.0) podría permitir que un atacante modifique archivos arbitrarios en la consola de gestión del producto afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/09/2021

Vulnerabilidad en dispositivos de Glory (CVE-2019-10478)
Fecha de publicación:
05/04/2019
Idioma:
Español
Se ha descubierto un problema con el firmware ISP-K05-02 7.0.0 en dispositivos de Glory RBW-100. Una vulnerabilidad de subida de archivos sin restricciones en el controlador "Front Circle" en glytoolcgi/settingfile_upload.cgi permite que los atacantes suban datos proporcionados. Esta vulnerabilidad se puede utilizar para introducir código controlado por el atacante en el sistema de archivos para que se ejecute, lo cual puede conducir a un shell root inverso.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2019
Suscribirse a Vulnerabilidades