Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo libcommon.so en la función processCommandUploadLog() en Petwant PF-103 y Petalk AI (CVE-2019-17364)
Fecha de publicación:
13/12/2019
Idioma:
Español
La función processCommandUploadLog() del archivo libcommon.so en Petwant PF-103 versión de firmware 4.22.2.42 y Petalk AI versión 3.2.2.30 permite a atacantes remotos ejecutar comandos arbitrarios del sistema como usuario root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2019

Vulnerabilidad en el archivo libcommon.so en la función processCommandSetMac() en Petwant PF-103 y Petalk A (CVE-2019-16737)
Fecha de publicación:
13/12/2019
Idioma:
Español
La función processCommandSetMac() del archivo libcommon.so en Petwant PF-103 versión de firmware 4.22.2.42 y Petalk AI versión 3.2.2.30 permite a atacantes remotos ejecutar comandos arbitrarios del sistema como usuario root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2019

Vulnerabilidad en el archivo libcommon.so en la función processCommandUploadSnapshot en Petwant PF-103 y Petalk AI (CVE-2019-16736)
Fecha de publicación:
13/12/2019
Idioma:
Español
Un desbordamiento de búfer en la región heap de la memoria en la función processCommandUploadSnapshot en el archivo libcommon.so en Petwant PF-103 versión de firmware 4.22.2.42 y Petalk AI versión 3.2.2.30 permite a atacantes remotos causar una denegación de servicio o ejecutar código arbitrario como usuario root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2019

Vulnerabilidad en la función processCommandUploadLog en el archivo libcommon.so en Petwant PF-103 y Petalk AI (CVE-2019-16735)
Fecha de publicación:
13/12/2019
Idioma:
Español
Un desbordamiento del búfer en la región heap en la función processCommandUploadLog en el archivo libcommon.so en Petwant PF-103 versión de firmware 4.22.2.42 y Petalk AI versión 3.2.2.30, permite a atacantes remotos causar la denegación de servicio o ejecutar código arbitrario como usuario root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2019

Vulnerabilidad en el archivo libcommon.so en la función processCommandSetUid() en Petwant PF-103 (CVE-2019-16733)
Fecha de publicación:
13/12/2019
Idioma:
Español
La función processCommandSetUid() en el archivo libcommon.so en Petwant PF-103 versión de firmware 4.22.2.42 y Petalk AI versión 3.2.2.30, permite a atacantes remotos ejecutar comandos arbitrarios del sistema como usuario root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2019

Vulnerabilidad en el servidor TELNET en Petwant PF-103 y Petalk AI (CVE-2019-16734)
Fecha de publicación:
13/12/2019
Idioma:
Español
El uso de credenciales predeterminadas para el servidor TELNET en Petwant PF-103 versión de firmware 4.3.2.50 y Petalk AI versión 3.2.2.30, permite a atacantes remotos ejecutar comandos arbitrarios del sistema como usuario root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2019

Vulnerabilidad en el controlador HTTP de RadChart de un archivo web.config en RadChart en la interfaz de usuario de Telerik para ASP.NET AJAX (CVE-2019-19790)
Fecha de publicación:
13/12/2019
Idioma:
Español
El salto de ruta en RadChart en la interfaz de usuario de Telerik para ASP.NET AJAX permite a un atacante remoto leer y eliminar una imagen con extensión .BMP, .EXIF, .GIF, .ICON, .JPEG, .PNG, .TIFF o .WMF en el servidor por medio de una petición especialmente diseñada. NOTA: RadChart fue descontinuada en 2014 a favor de RadHtmlChart. Todas las versiones de RadChart se vieron afectadas. Para impedir esta vulnerabilidad, debe eliminar el controlador HTTP de RadChart de un archivo web.config (su tipo es Telerik.Web.UI.ChartHttpHandler).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2025

Vulnerabilidad en el archivo /system/ws/v11/ss/email en los campos fromName y message en EGain Web Email API 11+ (CVE-2019-17123)
Fecha de publicación:
13/12/2019
Idioma:
Español
EGain Web Email API 11+ permite mensajes falsos porque los campos fromName y message (en el archivo /system/ws/v11/ss/email) se manejan inapropiadamente, como es demostrado por una inyección de encabezado fromName con un carácter %0a o %0d. (Además, el parámetro message puede tener caracteres de comentario HTML iniciales).
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en "select hostdetails from hostdetails" en el endpoint /event/runquery.do en Zoho ManageEngine EventLog Analyzer (CVE-2019-19774)
Fecha de publicación:
13/12/2019
Idioma:
Español
Se detectó un problema en Zoho ManageEngine EventLog Analyzer versión 10.0 SP1 versiones anteriores a Build 12110. Al ejecutar "select hostdetails from hostdetails" en el endpoint /event/runquery.do, es posible omitir las restricciones de seguridad que impiden que incluso los usuarios administrativos visualicen datos de credenciales almacenados en la base de datos y recupera los hash MD5 de las cuentas usadas para autenticar la plataforma ManageEngine en las máquinas administradas sobre la red (con frecuencia cuentas administrativas). Específicamente, esto omite estas restricciones: una consulta no puede mencionar la contraseña y el resultado de una consulta no puede tener una columna de contraseña.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/02/2023

Vulnerabilidad en Cyxtera AppGate SDP Client (CVE-2019-19793)
Fecha de publicación:
13/12/2019
Idioma:
Español
En Cyxtera AppGate SDP Client versiones 4.1.x hasta 4.3.x anteriores a 4.3.2, en Windows, un usuario local o remoto del mismo dominio puede obtener privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en un correo electrónico en un controlador de notificación push en Dovecot (CVE-2019-19722)
Fecha de publicación:
13/12/2019
Idioma:
Español
En Dovecot versiones anteriores a 2.3.9.2, un atacante puede bloquear un controlador de notificación push con un correo electrónico diseñado cuando notificaciones push son usadas, debido a una desreferencia del puntero NULL. El correo electrónico debe usar una dirección de grupo como remitente o destinatario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo .m65 en el archivo asm.c en la función to_comma() en Atasm (CVE-2019-19785)
Fecha de publicación:
13/12/2019
Idioma:
Español
ATasm versión 1.06, presenta un desbordamiento de búfer en la región heap de la memoria en la función to_comma() en el archivo asm.c por medio de un archivo .m65 diseñado.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades