Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en CVE-2018-6484 (CVE-2018-6484)
Fecha de publicación:
01/02/2018
Idioma:
Español
En ZZIPlib 0.13.67, hay un error de alineación de memoria y un error de bus en la función __zzip_fetch_disk_trailer de zzip/zip.c. Los atacantes remotos pueden aprovechar esta vulnerabilidad para provocar una denegación de servicio (DoS) mediante un archivo zip manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2020

Vulnerabilidad en glibc (CVE-2017-1000408)
Fecha de publicación:
01/02/2018
Idioma:
Español
Una fuga de memoria en glibc 2.1.1 (publicado el 24 de mayo de 1999) puede ser alcanzada y amplificada mediante la variable de entorno LD_HWCAP_MASK. Hay que tener en cuenta que muchas versiones de glibc no son vulnerables a este problema si se corrigen con el parche para CVE-2017-1000366.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en productos Atlassian (CVE-2017-16861)
Fecha de publicación:
01/02/2018
Idioma:
Español
La doble evaluación OGNL era posible en algunas acciones de redirección y en la URL WebWork y las etiquetas Anchor de archivos JSP. Un atacante que pueda acceder a la interfaz web de Fisheye o Crucible o que aloje un sitio web que visite un usuario que pueda acceder a la interfaz web de Fisheye o Crucible puede explotar esta vulnerabilidad para ejecutar código Java a voluntad en sistemas que ejecuten una versión vulnerable de Fisheye o de Crucible. Todas las versiones de Fisheye y Crucible anteriores a la 4.4.5 (la versión corregida para 4.4.x) y desde la 4.5.0 anteriores a la 4.5.2 (la versión corregida para 4.5.x) se han visto afectadas por esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/10/2019

Vulnerabilidad en glibc (CVE-2017-1000409)
Fecha de publicación:
01/02/2018
Idioma:
Español
Un desbordamiento de búfer en glibc 2.5 (publicado el 29 de septiembre de 2006) puede ser desencadenado mediante la variable de entorno LD_LIBRARY_PATH. Hay que tener en cuenta que muchas versiones de glibc no son vulnerables a este problema si se corrigen con el parche para CVE-2017-1000366.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/04/2019

Vulnerabilidad en el controlador vhci_hcd en el kernel de Linux (CVE-2017-16911)
Fecha de publicación:
31/01/2018
Idioma:
Español
El controlador vhci_hcd en el kernel de Linux, en versiones anteriores a la 4.14.8 y la 4.4.114, permite que atacantes locales revelen direcciones de memoria del kernel. La explotación con éxito requiere que se conecte un dispositivo USB mediante IP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2018

Vulnerabilidad en la función get_pipe() en el kernel de Linux (CVE-2017-16912)
Fecha de publicación:
31/01/2018
Idioma:
Español
La función "get_pipe()" (drivers/usb/usbip/stub_rx.c) en el kernel de Linux, en versiones anteriores a la 4.14.8; y las versiones 4.9.71 y 4.4.114, permite que atacantes provoquen una denegación de servicio (lectura fuera de límites) mediante un USB especialmente manipulado en un paquete IP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2018

Vulnerabilidad en la función stub_recv_cmd_submit() en el kernel de Linux (CVE-2017-16913)
Fecha de publicación:
31/01/2018
Idioma:
Español
La función "stub_recv_cmd_submit()" (drivers/usb/usbip/stub_rx.c) en el kernel de Linux, en versiones anteriores a la 4.14.8; y las versiones 4.9.71 y 4.4.114, al gestionar paquetes CMD_SUBMIT, permite que atacantes provoquen una denegación de servicio (lectura fuera de límites) mediante un USB especialmente manipulado en un paquete IP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2018

Vulnerabilidad en la función stub_send_ret_submit() en el kernel de Linux (CVE-2017-16914)
Fecha de publicación:
31/01/2018
Idioma:
Español
La función "stub_send_ret_submit()" (drivers/usb/usbip/stub_tx.c) en el kernel de Linux, en versiones anteriores a la 4.14.8; y las versiones 4.9.71 y 4.4.107, permite que atacantes provoquen una denegación de servicio (lectura fuera de límites) mediante un USB especialmente manipulado en un paquete IP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2018

Vulnerabilidad en el componente GUI en los clientes Pulse Secure Desktop Linux (CVE-2018-6374)
Fecha de publicación:
31/01/2018
Idioma:
Español
El componente GUI (también conocido como PulseUI) en los clientes Pulse Secure Desktop Linux, en versiones anteriores a PULSE5.2R9.2 y las versiones 5.3.x anteriores a PULSE5.3R4.2 no realiza validación de certificados SSL. Esto puede conducir a la manipulación del conjunto Pulse Connection.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2018

Vulnerabilidad en el servidor HTTPd en Asus asuswrt (CVE-2017-15654)
Fecha de publicación:
31/01/2018
Idioma:
Español
Los tokens de sesión altamente predecibles en el servidor HTTPd en todas las versiones actuales (iguales o inferiores a 3.0.0.4.380.7743) de Asus asuswrt permiten obtener acceso administrativo al router.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en el servidor HTTPd en Asus asuswrt (CVE-2017-15656)
Fecha de publicación:
31/01/2018
Idioma:
Español
Las contraseñas se almacenan en texto plano en nvram en el servidor HTTPd en todas las versiones actuales (iguales o anteriores a la 3.0.0.4.380.7743) de Asus asuswrt.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en la macro ROUND_UP (n, d) en Quick Emulator (CVE-2017-18043)
Fecha de publicación:
31/01/2018
Idioma:
Español
Desbordamiento de enteros en la macro ROUND_UP (n, d) en Quick Emulator (Qemu) permite que un usuario provoque una denegación de servicio (cierre inesperado del proceso Qemu)
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades