Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zoho ManageEngine ADSelfService Plus (CVE-2019-3905)
Fecha de publicación:
03/01/2019
Idioma:
Español
Zoho ManageEngine ADSelfService Plus, en sus versiones 5.x antes del build 5703, tiene Server-Side Request Forgery (SSRF).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/05/2025

Vulnerabilidad en Plikli CMS (CVE-2018-19414)
Fecha de publicación:
03/01/2019
Idioma:
Español
Múltiples vulnerabilidades Cross-Site Scripting (XSS) en la versión 4.0.0 de Plikli CMS permiten a los atacantes remotos inyectar scripts web o HTML arbitrarios mediante el parámetro "keyboard" en groups.php, el parámetro "username" en login.php y el parámetro "date" en search.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2019

Vulnerabilidad en Plikli CMS (CVE-2018-19415)
Fecha de publicación:
03/01/2019
Idioma:
Español
Múltiples vulnerabilidades de inyección SQL en la versión 4.0.0 de Plikli CMS permiten a los atacantes remotos ejecutar comandos SQL arbitrarios mediante (1) el parámetro "id" en join_group.php o (2) el parámetro "comment_id" en story.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/01/2019

Vulnerabilidad en Osclass (CVE-2018-14481)
Fecha de publicación:
03/01/2019
Idioma:
Español
La versión 3.7.4 de Osclass tiene Cross-Site Scripting (XSS) mediante la cadena de consulta en index.php. Esta vulnerabilidad es diferente de CVE-2014-6280.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2019

Vulnerabilidad en MiniShare (CVE-2018-19861)
Fecha de publicación:
03/01/2019
Idioma:
Español
MiniShare en la versión 1.4.1 y sus anteriores versiones permite a los atacantes remotos ejecutar código arbitrario mediante una petición HTTP HEAD larga. NOTA: este producto está discontinuado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/01/2019

Vulnerabilidad en MiniShare (CVE-2018-19862)
Fecha de publicación:
03/01/2019
Idioma:
Español
MiniShare, en la versión 1.4.1 y anteriores, tiene un desbordamiento de búfer que permite a los atacantes remotos ejecutar código arbitrario mediante una petición HTTP POST larga. NOTA: este producto está descontinuado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/01/2019

Vulnerabilidad en DriverAgent (CVE-2018-19523)
Fecha de publicación:
03/01/2019
Idioma:
Español
La versión 2.2015.7.14 de DriverAgent, que incluye la versión 1.0.0.1 de DrvAgent64.sys, permite a un usuario enviar un IOCTL (0x80002068) con un tamaño de búfer definido por el usuario. Si el tamaño de dicho búfer es inferior a 512 bytes, el controlador sobrescribirá la próxima cabecera "pool" si hay una al lado del "pool" de búfer del usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/02/2019

Vulnerabilidad en BMC Remedy (CVE-2018-19505)
Fecha de publicación:
03/01/2019
Idioma:
Español
En la versión 7.1 de BMC Remedy, Remedy AR System Server podría no lograr establecer el contexto de usuario correcto en determinados escenarios de suplantación, lo que podría permitir a un usuario actuar con la identidad de otro usuario debido a que userdata.js en el componente WOI:WorkOrderConsole permite una sustitución del nombre de usuario que implica una llamada UserData_Init.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/02/2019

Vulnerabilidad en Dolibarr (CVE-2018-19992)
Fecha de publicación:
03/01/2019
Idioma:
Español
Una vulnerabilidad de Cross-Site Scripting (XSS) persistente en Dolibarr, en versiones anteriores a la 8.0.2, permite que los atacantes remotos autenticados inyecten scripts web o HTML arbitrarios mediante el parámetro "address" (POST) o "town" (POST) en adherents/type.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2022

Vulnerabilidad en FreeBSD (CVE-2018-17161)
Fecha de publicación:
03/01/2019
Idioma:
Español
En FreeBSD en versiones anteriores a la 1.2-STABLE(r348229), 11.2-RELEASE-p7 y 12.0-STABLE(r342228) y en la 12.0-RELEASE-p1, una validación insuficiente de los datos proporcionados por la red en bootpd podría permitir que un atacante malicioso manipule un paquete bootp, lo que podría conducir a un desbordamiento de búfer basado en pila. Es posible que el desbordamiento de búfer provoque una denegación de servicio (DoS) o ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/10/2019

Vulnerabilidad en kernel de Linux (CVE-2018-16882)
Fecha de publicación:
03/01/2019
Idioma:
Español
Se ha detectado un uso de memoria previamente liberada en la manera en la que el hypervisor KVM del kernel de Linux procesa las interrupciones publicadas cuando la virtualización "nested(=1)" se encuentra habilitada. En caso de que se produzca un error durante el procesamiento de las direcciones de las interrupciones publicadas, nested_get_vmcs12_pages() desmapea "pi_desc_page" sin restablecer la dirección del descriptor "pi_desc", la cual se utiliza posteriormente en pi_test_and_clear_on(). Un usuario invitado/proceso podría aprovechar este fallo para forzar un cierre inesperado en el kernel del host, lo que resultaría en DoS o en el acceso privilegiado a un sistema. Las versiones del kernel anteriores a la 4.14.91 y la 4.19.13 son vulnerables.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2023

Vulnerabilidad en parámetro can_can_gw_rcv en net/ en el archivo can/gw.c en el kernel de Linux (CVE-2019-3701)
Fecha de publicación:
03/01/2019
Idioma:
Español
Fue encontrado un problemaa en el parametro can_can_gw_rcv en el archivo net/ can/gw.c en el kernel de Linux hasta la versión 4.19.13. Las reglas de modificación de la CAN frame permiten operaciones lógicas a nivel de bits que también se pueden aplicar en el campo can_dlc. El usuario con privilegios "root" con CAP_NET_ADMIN puede crear una regla de modificación de CAN frame que genera que el código de longitud de datos tenga un valor más alto que el tamaño de datos que CAN frame tenga disponible. En combinación con un cálculo de suma de comprobación configurado donde el resultado se almacena en relación con el final de los datos (por ejemplo, cgw_csum_xor_rel), se puede escribir de nuevo en la cola del skb (por ejemplo, el puntero frag_list en skb_shared_info), lo que finalmente puede ocasionar un fallo del sistema. a causa de la falta de una comprobación, los controladores CAN pueden escribir contenido arbitrario más allá de los registros de datos en la memoria de Entrada/Salida del controlador CAN durante el procesamiento de tramas salientes manipuladas con gw.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/09/2019
Suscribirse a Vulnerabilidades