Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un nombre de archivo adjunto en Afterlogic WebMail Pro y WebMail en Afterlogic Aurora (CVE-2019-19129)
Fecha de publicación:
26/11/2019
Idioma:
Español
Afterlogic WebMail Pro versión 8.3.11, y WebMail en Afterlogic Aurora versión 8.3.11, permite un ataque de tipo XSS almacenado remoto por medio de un nombre de archivo adjunto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2019

Vulnerabilidad en sentencias SQL en la base de datos de back-end en IBM Sterling B2B Integrator Standard Edition (CVE-2019-4387)
Fecha de publicación:
26/11/2019
Idioma:
Español
IBM Sterling B2B Integrator Standard Edition versiones 6.0.0.0 hasta 6.0.2.0, es vulnerable a una inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, lo que podría permitir al atacante visualizar, agregar, modificar o eliminar información en la base de datos de back-end. ID de IBM X-Force: 162715.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2019

Vulnerabilidad en permisos en GitLab Community and Enterprise Edition (CVE-2019-18458)
Fecha de publicación:
26/11/2019
Idioma:
Español
Se detectó un problema en GitLab Community and Enterprise Edition versiones hasta 12.4. Posee Permisos No Seguros (problema 2 de 4).
Gravedad CVSS v3.1: BAJA
Última modificación:
27/11/2019

Vulnerabilidad en manejo de tokens de seguridad en GitLab Community and Enterprise Edition (CVE-2019-18457)
Fecha de publicación:
26/11/2019
Idioma:
Español
Se detectó un problema en GitLab Community and Enterprise Edition versiones 11.8 hasta 12.4, cuando maneja tokens de Seguridad. Posee Permisos No Seguros.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/11/2019

Vulnerabilidad en la funcionalidad protected environments en GitLab Community and Enterprise Edition (CVE-2019-18459)
Fecha de publicación:
26/11/2019
Idioma:
Español
Se detectó un problema en GitLab Community and Enterprise Edition versiones 11.3 hasta 12.3, en la funcionalidad protected environments. Posee Permisos No Seguros (problema 3 de 4).
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/12/2019

Vulnerabilidad en el componente web protection en Kaspersky Anti-Virus (CVE-2019-15687)
Fecha de publicación:
26/11/2019
Idioma:
Español
Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus, Kaspersky Small Office Security, Kaspersky Security Cloud hasta el 2020, el componente web protection era vulnerable a una divulgación remota de diversa información sobre el sistema del usuario (como versión de Window y versión del producto, ID único del host). Divulgación de Información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el componente web protection en Kaspersky Anti-Virus, (CVE-2019-15688)
Fecha de publicación:
26/11/2019
Idioma:
Español
Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus, Kaspersky Small Office Security, Kaspersky Security Cloud hasta el 2020, el componente web protection no informó adecuadamente al usuario sobre la amenaza de redireccionar a un sitio no seguro . Omisión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2019

Vulnerabilidad en el componente web protection en Kaspersky Anti-Virus (CVE-2019-15685)
Fecha de publicación:
26/11/2019
Idioma:
Español
Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus, Kaspersky Small Office Security, Kaspersky Security Cloud hasta el 2020, el componente web protection permitió a un atacante deshabilitar remotamente las funcionalidades de seguridad del producto tales como navegación privada y anti-banner. Omisión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en el componente web protection en Kaspersky Anti-Virus (CVE-2019-15686)
Fecha de publicación:
26/11/2019
Idioma:
Español
Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus, Kaspersky Small Office Security, Kaspersky Security Cloud hasta el 2020, el componente web protection permitió a un atacante deshabilitar remotamente varias funcionalidades de protección antivirus. Denegación de Servicio, Omisión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en la identificación de PIN en el directorio /data/local/tmp/ en los dispositivos TCL Alcatel Cingular Flip 2 B9HUAH1. (CVE-2019-16241)
Fecha de publicación:
26/11/2019
Idioma:
Español
En los dispositivos TCL Alcatel Cingular Flip 2 B9HUAH1, se puede omitir la identificación de PIN al crear un archivo especial dentro del directorio /data/local/tmp/. La aplicación del sistema que implementa la pantalla de bloqueo comprueba la existencia de un archivo específico y deshabilita la autenticación PIN si existe. Este archivo comúnmente es creado por medio de Android Debug Bridge (adb) mediante USB.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en los dispositivos TCL Alcatel Cingular Flip 2 B9HUAH1 (CVE-2019-16243)
Fecha de publicación:
26/11/2019
Idioma:
Español
En los dispositivos TCL Alcatel Cingular Flip 2 B9HUAH1, existe una API web no documentada que permite JavaScript sin privilegios, incluido JavaScript que sea ejecutado dentro del navegador KaiOS, para visualizar y editar la configuración de actualización inalámbrica del firmware del dispositivo. (Esta aplicación web normalmente utiliza esta API del sistema para activar actualizaciones de firmware por medio del archivo OmaService.js).
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en los dispositivos TCL Alcatel Cingular Flip 2 B9HUAH1 (CVE-2019-16242)
Fecha de publicación:
26/11/2019
Idioma:
Español
En los dispositivos TCL Alcatel Cingular Flip 2 B9HUAH1, hay una aplicación de ingeniería llamada omamock que es vulnerable a una inyección de comandos de sistema operativo. Un atacante con acceso físico al dispositivo puede abusar de esta vulnerabilidad para ejecutar comandos arbitrarios de sistema operativo como usuario root por medio de la interfaz de usuario de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/12/2019
Suscribirse a Vulnerabilidades