Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el componente WebRTC en Opera (CVE-2018-6608)
Fecha de publicación:
28/03/2018
Idioma:
Español
En el componente WebRTC en Opera 51.0.2830.55, tras visitar un sitio web que intenta recopilar la información total del cliente (como https://ip.voidsec.com), el navegador puede revelar una dirección IP privada en una petición STUN.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2018

Vulnerabilidad en Square 9 GlobalForms (CVE-2018-8820)
Fecha de publicación:
28/03/2018
Idioma:
Español
Se ha descubierto un problema en Square 9 GlobalForms 6.2.x. Una vulnerabilidad de inyección SQL basada en tiempo en el parámetro "match" permite que atacantes remotos autenticados ejecuten comandos SQL arbitrarios. Es posible actualizar el acceso para comprometer por completo el servidor mediante xp_cmdshell. En algunos casos, el requisito de autenticación para el ataque puede cumplirse mediante el envío de las credenciales de administrador por defecto.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2018

Vulnerabilidad en screen-resolution-extra (CVE-2018-8885)
Fecha de publicación:
28/03/2018
Idioma:
Español
screenresolution-mechanism en screen-resolution-extra 0.17.2 no emplea correctamente la API PolicyKit D-Bus API, lo que permite que usuarios locales omitan las restricciones de acceso planeadas aprovechando una condición de carrera mediante un proceso setuid o pkexec que se gestiona de manera incorrecta en una llamada PolicyKitService._check_permission.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2018

Vulnerabilidad en Nextcloud Server (CVE-2017-0936)
Fecha de publicación:
28/03/2018
Idioma:
Español
Nextcloud Server en versiones anteriores a la 11.0.7 y versiones 12.0.5 contiene una vulnerabilidad de omisión de autorización mediante una clave controlada por el usuario. La falta de una verificación de propiedad permitía a los usuarios con sesión iniciada modificar el alcance de las contraseñas de la aplicación de otros usuarios. Hay que tener en cuenta que las contraseñas de app no se revelaban de por sí y que el error no se puede utilizar para identificarse como otro usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en libvirt (CVE-2018-1064)
Fecha de publicación:
28/03/2018
Idioma:
Español
libvirt, en versiones anteriores a la 4.2.0-rc1 es vulnerable a un agotamiento de recursos como resultado de una solución incompleta para CVE-2018-5748 que afecta al monitor QEMU, pero que ahora también puede desencadenarse mediante el agente invitado de QEMU.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Firebird SQL Server (CVE-2017-11509)
Fecha de publicación:
28/03/2018
Idioma:
Español
Un atacante remoto autenticado puede ejecutar código arbitrario en Firebird SQL Server, versiones 2.5.7 y 3.0.2, ejecutando una instrucción SQL mal formada.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/11/2021

Vulnerabilidad en la cámara de red HW0021 de Wanscam (CVE-2017-11510)
Fecha de publicación:
28/03/2018
Idioma:
Español
Existe un filtrado de información en la cámara de red HW0021 de Wanscam que permite que un atacante remoto no autenticado recupere el nombre de usuario y contraseña del administrador mediante una petición ONVIF GetSnapshotUri.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en Philips Alice 6 System (CVE-2018-5451)
Fecha de publicación:
28/03/2018
Idioma:
Español
En Philips Alice 6 System, en versiones R8.0.2 o anteriores, cuando un actor dice tener una identidad determinada, el software no prueba, o no prueba lo suficiente, que esto sea correcto. Esta debilidad puede conducir a la exposición de recursos o funcionalidades a actores no planeados, proporcionando a los atacantes información sensible o la capacidad para ejecutar código arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en Philips Alice 6 System (CVE-2018-7498)
Fecha de publicación:
28/03/2018
Idioma:
Español
En Philips Alice 6 System, en versiones R8.0.2 o anteriores, la falta de cifrado de datos correcto omite las garantías de confidencialidad, integridad y responsabilidad que conlleva el cifrado implementado adecuadamente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en la función zipdl() en Studio 42 elFinder (CVE-2018-9110)
Fecha de publicación:
28/03/2018
Idioma:
Español
Studio 42 elFinder en versiones anteriores a la 02/01/1937 tiene una vulnerabilidad de salto de directorio en elFinder.class.php con la función zipdl() que puede permitir que un atacante remoto descargue archivos accesibles por el proceso del servidor web y elimine archivos propiedad de la cuenta que ejecuta el proceso del servidor web. NOTA: este problema existe debido a una solución incompleta para CVE-2018-9109.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/09/2021

Vulnerabilidad en la consola de usuario de NetIQ Identity Manager (CVE-2018-7674)
Fecha de publicación:
28/03/2018
Idioma:
Español
La consola de usuario de NetIQ Identity Manager, en versiones anteriores a la 4.7, es susceptible a la redirección de URL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en NetIQ Identity Manager (CVE-2018-7676)
Fecha de publicación:
28/03/2018
Idioma:
Español
En NetIQ Identity Manager, en versiones anteriores a la 4.7, userapp con log / trace habilitado podría filtrar información sensible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades