Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Drupal Core (CVE-2019-6339)
Fecha de publicación:
22/01/2019
Idioma:
Español
En Drupal Core, en sus versiones 7.x anteriores a la 7.62, en las 8.6.x anteriores a la 8.6.6 y en las 8.5.x anteriores a la 8.5.9, existe una vulnerabilidad de ejecución remota de código en el wrapper de transmisión phar integrada del PHP cuando se ejecutan operaciones de archivo en un URI "phar://" no fiable. Algún código Drupal ("core", "contrib" y "custom") puede estar ejecutando operaciones de archivo en las entradas de usuarios no validadas de manera suficiente, lo que hace que estos se expongan a esta vulnerabilidad. Esta vulnerabilidad se mitiga por el hecho de que dichas rutas de código normalmente requieren acceso a un permiso del administrador o a una configuración atípica.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Drupal core (CVE-2017-6922)
Fecha de publicación:
22/01/2019
Idioma:
Español
En Drupal core, en las versiones 8.x anteriores a la 8.3.4 y en las 7.x anteriores a la 7.56, los archivos privados subidos por un usuario anónimo que no estén conectados al contenido del sitio deberían ser visibles solo para el mismo usuario anónimo que los subió, en lugar de todos los usuarios anónimos. Anteriormente, Drupal core no disponía de esta protección, permitiendo que ocurriera una vulnerabilidad de omisión de acceso. Este problema se mitiga por el hecho de que, para que se vea afectado, el sitio deberá permitir a los usuarios anónimos subir archivos a un sistema de archivos privado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Drupal (CVE-2017-6923)
Fecha de publicación:
22/01/2019
Idioma:
Español
En Drupal, en sus versiones 8.x anteriores a la 8.3.7, cuando se crea una vista se puede usar Ajax de manera opcional para actualizar los datos mostrados mediante parámetros filter. Las vistas "subsystem" y "module" no restringían el acceso al endpoint de Ajax a visualizaciones configuradas para usar Ajax. Esto se puede mitigar si se tienen restricciones de acceso en la previsualización. Es una buena práctica siempre incluir algún tipo de restricciones de acceso en todas las visualizaciones, incluso aunque se utilice otro módulo para mostrarlas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Chatopera cosin (CVE-2019-6503)
Fecha de publicación:
22/01/2019
Idioma:
Español
Hay una vulnerabilidad de deserialización en la versión v3.10.0 de Chatopera cosin. Un atacante puede ejecutar comandos durante la deserialización del lado del servidor, subiendo archivos construidos de manera maliciosa. Esto está relacionado con los métodos impsave (TemplateController.java) y MainUtils toObject.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/02/2019

Vulnerabilidad en Fortinet FortiOS y FortiADC (CVE-2018-13374)
Fecha de publicación:
22/01/2019
Idioma:
Español
Un control de acceso inadecuado en Fortinet FortiOS 6.0.2, 5.6.7 y anteriores, FortiADC 6.1.0, 6.0.0 a 6.0.1, 5.4.0 a 5.4.4 permite a un atacante obtener las credenciales de inicio de sesión del servidor LDAP configurado en FortiGate a través de una solicitud de prueba de conectividad del servidor LDAP a un servidor LDAP falso en lugar del configurado
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2025

Vulnerabilidad en Jenkins (CVE-2019-1003003)
Fecha de publicación:
22/01/2019
Idioma:
Español
Existe una vulnerabilidad de autorización incorrecta en Jenkins, en la versión 2.158 y anteriores y con el firmware LTS 2.150.1 y anteriores, en ore/src/main/java/hudson/security/TokenBasedRememberMeServices2.java que permite a los atacantes con permisos de "Overall/RunScripts" manipular cookies "Remember Me" que no caducan, permitiendo el acceso persistente a cuentas de usuario comprometidas de manera temporal.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en Jenkins (CVE-2019-1003004)
Fecha de publicación:
22/01/2019
Idioma:
Español
Existe una vulnerabilidad de autorización incorrecta en Jenkins, en la versión 2.158 y anteriores con firmware LTS 2.150.1 y anteriores, en core/src/main/java/hudson/security/AuthenticationProcessingFilter2.java que permite a los atacantes ampliar la duración de sesiones HTTP activas de manera indefinida, aunque la cuenta de usuario pueda haberse eliminado durante el proceso.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en Drupal Core (CVE-2019-6338)
Fecha de publicación:
22/01/2019
Idioma:
Español
Drupal Core, en sus versiones 7.x anteriores a la 7.62, en las 8.6.x anteriores a la 8.6.6 y en las 8.5.x anteriores a la 8.5.9, utiliza la biblioteca "PEAR Archive_Tar" de terceros. Esta biblioteca ha publicado una actualización de seguridad que impacta en algunas configuraciones de Drupal. Véase CVE-2018-1000888 para más información.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Pipeline (CVE-2019-1003002)
Fecha de publicación:
22/01/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en Pipeline: el plugin Declarative, en la versión 1.3.3 y anteriores, en pipeline-model-definition/src/main/groovy/org/jenkinsci/plugins/pipeline/modeldefinition/parser/Converter.groovy permite a los atacantes con permisos de "Overall/Read" proporcionar un script "pipeline" a un endpoint HTTP que puede resultar en la ejecución de código arbitrario en la máquina virtual de Java maestra de Jenkins.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en Pipeline (CVE-2019-1003001)
Fecha de publicación:
22/01/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en Pipeline: el plugin Groovy, en la versión 2.61 y anteriores, en src/main/java/org/jenkinsci/plugins/workflow/cps/CpsFlowDefinition.java y src/main/java/org/jenkinsci/plugins/workflow/cps/CpsGroovyShellFactory.java permite a los atacantes con permisos de "Overall/Read" proporcionar un script "pipeline" a un endpoint HTTP que puede resultar en la ejecución de código arbitrario enla máquina virtual de Java maestra de Jenkins.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en Script Security Plugin (CVE-2019-1003000)
Fecha de publicación:
22/01/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en Script Security Plugin versión 1.49 y anteriores, en src/main/java/org/jenkinsc/plugins/scriptsecurity/sandbox/ groovy/GroovySandbox.java que permite a los atacantes la capacidad de proporcionar scripts de tipo Sandbox para ejecutar código arbitrario en el Jenkins master JVM.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en OpenSC (CVE-2019-6502)
Fecha de publicación:
22/01/2019
Idioma:
Español
En la versión 0.19.0 de OpenSC, sc_context_create en ctx.c en libopensc tiene una fuga de memoria, tal y como queda demostrado con una llamada desde eidenv.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/06/2023
Suscribirse a Vulnerabilidades