Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en productos de TIBCO Software Inc. (CVE-2018-18813)
Fecha de publicación:
16/01/2019
Idioma:
Español
El componente del servidor web Spotfire de TIBCO Spotfire Analytics Platform for AWS Marketplace y TIBCO Spotfire Server, de TIBCO Software Inc., contiene múltiples vulnerabilidades que podrían permitir ataques de Componente persistente y reflejado. Las versiones afectadas de los productos de TIBCO Software Inc.son TIBCO Spotfire Analytics Platform for AWS Marketplace: versiones hasta e incluyendo la 10.0.0 y TIBCO Spotfire Server: versiones hasta e incluyendo las 7.10.1; 7.11.0; 7.11.1; 7.12.0; 7.13.0; 7.14.0 y la 10.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en productos de TIBCO Software Inc. (CVE-2018-18814)
Fecha de publicación:
16/01/2019
Idioma:
Español
El componente de autenticación TIBCO Spotfire de TIBCO Spotfire Analytics Platform for AWS Marketplace y TIBCO Spotfire Server, de TIBCO Software Inc., contiene una vulnerabilidad en el manejo de la autenticación que, en teoría, podría permitir que un atacante obtenga acceso total a una cuenta objetivo, independientemente de los mecanismos de autenticación configurados. Las versiones afectadas de los productos de TIBCO Software Inc. son TIBCO Spotfire Analytics Platform for AWS Marketplace: versiones hasta e incluyendo la 10.0.0 y TIBCO Spotfire Server: versiones hasta e incluyendo las 7.10.1; 7.11.0; 7.11.1; 7.12.0; 7.13.0 y la 7.14.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

CVE-2017-17197
Fecha de publicación:
16/01/2019
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2017. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en BIND (CVE-2018-5741)
Fecha de publicación:
16/01/2019
Idioma:
Español
Para proporcionar controles detallados sobre la capacidad de emplear DNS dinámico (DDNS) para actualizar registros en una zona, BIND 9 proporciona una característica llamada update-policy. Pueden configurarse varias reglas para limitar los tipos de subidas que pueden ser realizadas por un cliente, dependiendo de la clave empleada al enviar la petición de actualización. Desgraciadamente, algunos tipos de reglas no se documentaron inicialmente y, cuando su documentación se añadió al manual de referencia de administrador (ARM) en el cambio #3112, el texto que se añadió al ARM en ese momento describía el comportamiento de dos tipos de regla, krb5-subdomain y ms-subdomain. Esta documentación incorrecta podría hacer que los operadores piensen que las políticas que han configurado son más restrictivas de lo que lo son en realidad. Esto afecta a BIND en versiones anteriores a la 9.11.5 y BIND 9.12.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2020

Vulnerabilidad en BIND (CVE-2018-5740)
Fecha de publicación:
16/01/2019
Idioma:
Español
"deny-answer-aliases" es una característica poco utilizada que pretende ayudar a los operadores recursivos del servidor a proteger a los usuarios finales contra ataques de reenlace DNS, un método para poder eludir el modelo de seguridad empleado por los navegadores del cliente. Sin embargo, un defecto en esta característica hace que sea sencillo experimentar un fallo de aserción en name.c. Afecta a BIND desde la versión 9.7.0 hasta la versión 9.8.8, desde la versión 9.9.0 hasta la versión 9.9.13, desde la versión 9.10.0 hasta la versión 9.10.8, desde la versión 9.11.0 hasta la versión 9.11.4, desde la versión 9.12.0 hasta la versión 9.12.2 y desde la versión 9.13.0 hasta la versión 9.13.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2022

Vulnerabilidad en ISC DHCP (CVE-2017-3144)
Fecha de publicación:
16/01/2019
Idioma:
Español
Una vulnerabilidad derivada del error al limpiar correctamente las conexiones OMAPI cerradas puede conducir al agotamiento del grupo de descriptores del socket disponibles para el servidor DHCP. Afecta a ISC DHCP desde la versión 4.1.0 hasta la 4.1-ESV-R15, desde la versión 4.2.0 hasta la 4.2.8 y desde la versión 4.3.0 hasta la 4.3.6. Las versiones anteriores podrían hacerse visto afectadas, pero han sobrepasado por mucho su fin de vida útil. Las versiones anteriores a la 4.1.0 no han sido probadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2020

Vulnerabilidad en ISC DHCP (CVE-2018-5733)
Fecha de publicación:
16/01/2019
Idioma:
Español
Un cliente malicioso al que se le permite enviar grandes cantidades de tráfico (miles de millones de paquetes) a un servidor DHCP puede terminar desbordando un contador de referencia de 32 bits, provocando el cierre inesperado de dhcpd. Afecta a ISC DHCP desde la versión 4.1.0 hasta la 4.1-ESV-R15, desde la versión 4.2.0 hasta la 4.2.8, desde la versión 4.3.0 hasta la 4.3.6 y a la versión 4.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/04/2025

Vulnerabilidad en BIND (CVE-2017-3145)
Fecha de publicación:
16/01/2019
Idioma:
Español
BIND secuenciaba incorrectamente las operaciones de limpieza en contextos fetch de recursión ascendente, lo que conduce en algunos casos a un error de uso de memoria previamente liberada que puede desencadenar un fallo de aserción y un cierre inesperado en named. Afecta a BIND desde la versión 9.0.0 hasta la versión 9.8.x, desde la versión 9.9.0 hasta la versión 9.9.11, desde la versión 9.10.0 hasta la versión 9.10.6, desde la versión 9.11.0 hasta la versión 9.11.2, desde la versión 9.9.3-S1 hasta la versión 09.9.11-S1, desde la versión 9.10.5-S1 hasta la versión 9.10.6-S1 y desde la 9.12.0a1 hasta la 9.12.0rc1.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/06/2023

Vulnerabilidad en BIND (CVE-2017-3136)
Fecha de publicación:
16/01/2019
Idioma:
Español
Una consulta con un conjunto determinado de características podría provocar que un servidor que emplea DNS64 se encuentre con un fallo de aserción y termine. Un atacante podría construir deliberadamente una consulta, habilitando una denegación de servicio (DoS) contra un servidor si está configurado para emplear la característica DNS64 y se cumplen otras precondiciones. Afecta a BIND desde la versión 9.8.0 hasta la9.8.8-P1, desde la versión 9.9.0 hasta la 9.9.9-P6, desde la versión 9.9.10b1 hasta la 9.9.10rc1, desde la versión 9.10.0 hasta la 9.10.4-P6, desde la versión 9.10.5b1 hasta la 9.10.5rc1, desde la versión 9.11.0 hasta la 9.11.0-P3, desde la versión 9.11.1b1 hasta la 9.11.1rc1 y desde la versión 9.9.3-S1 hasta 9.9.9-S8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2020

Vulnerabilidad en BIND (CVE-2016-9778)
Fecha de publicación:
16/01/2019
Idioma:
Español
Un error a la hora de manejar ciertas consultas puede provocar un fallo de aserción cuando un servidor emplea la característica nxdomain-redirect para cubrir una zona para la que también está prestando servicios autoritativos. Un servidor vulnerable podría ser detenido de forma intencional por un atacante si está empleando una configuración que cumple los criterios para la vulnerabilidad y si el atacante puede provocar que acepte una consulta que posee los atributos necesarios. Nótese: esta vulnerabilidad afecta a la característica "nxdomain-redirect", que es uno de los dos métodos para gestionar la redirección de NXDOMAIN y solo está disponible en ciertas versiones de BIND. La redirección mediante zonas de tipo "redirect" no se ha visto afectada por esta vulnerabilidad. Afecta a BIND desde la versión 9.9.8-S1 hasta la 9.9.8-S3, desde la versión 9.9.9-S1 hasta la 9.9.9-S6 y a la versión 9.11.0-9.11.0-P1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en BIND (CVE-2017-3143)
Fecha de publicación:
16/01/2019
Idioma:
Español
Un atacante que pueda enviar y recibir mensajes a un servidor DNS autoritativo y que conozca un nombre de clave TSIG válido para la zona y el servicio objetivos podría ser capaz de manipular BIND para que acepte una actualización dinámica no autorizada. Afecta a BIND desde la versión 9.4.0 hasta la versión 9.8.8, desde la versión 9.9.0 hasta la versión 9.9.10-P1, desde la versión 9.10.0 hasta la versión 9.10.5-P1, desde la versión 9.11.0 hasta la versión 9.11.1-P1, desde la versión 9.9.3-S1 hasta la versión 9.9.10-S2 y desde la versión 9.10.5-S1 hasta la versión 9.10.5-S2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en BIND (CVE-2018-5736)
Fecha de publicación:
16/01/2019
Idioma:
Español
Un error en el conteo de la base de datos de la zona puede conducir a un fallo de aserción si un servidor que está ejecutando una versión afectada de BIND intenta realizar varias transferencias hacia una zona esclava en rápida sucesión. Este defecto podría ser aprovechado deliberadamente por un atacante al que se le permite hacer que un servidor vulnerable inicie transferencias de zona (por ejemplo, mediante el envío de mensajes NOTIFY válidos), lo que provoca que el proceso named se cierre tras fallar la prueba de aserción. Afecta a BIND en versiones 9.12.0 y 9.12.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019
Suscribirse a Vulnerabilidades