Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en phpIPAM (CVE-2018-1000869)
Fecha de publicación:
20/12/2018
Idioma:
Español
phpIPAM 1.3.2 contiene una vulnerabilidad CWE-89 en /app/admin/nat/item-add-submit.php que puede resultar en una inyección SQL. El ataque parece ser explotable mediante un usuario malicioso que explote la vulnerabilidad para acceder a información a la que no puede acceder. La vulnerabilidad parece haber sido solucionada en la versión 1.4.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2019

Vulnerabilidad en phpipam (CVE-2018-1000860)
Fecha de publicación:
20/12/2018
Idioma:
Español
phpipam, en versiones 1.3.2 y anteriores, contiene una vulnerabilidad Cross-Site Scripting (XSS). El valor de la cookie phpipamredirect se copia en una etiqueta HTML en la página de inicio de sesión encapsulada entre comillas simples. Editar el valor de la cookie r5zkh'>quqtl explota una vulnerabilidad Cross-Site Scripting (XSS) que puede resultar en la ejecución de código arbitrario en el navegador de la víctima. Este ataque debe encadenarse con otro exploit que permita al atacante configurar o modificar una cookie para el dominio de la instancia phpIPAM.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2019

Vulnerabilidad en Fasterxml Jackson (CVE-2018-1000873)
Fecha de publicación:
20/12/2018
Idioma:
Español
Fasterxml Jackson, en versiones anteriores a la 2.9.8, contiene una vulnerabilidad CWE-20: validación de entradas incorrecta en Jackson-Modules-Java8 que puede resultar en una denegación de servicio (DoS). Este ataque parece ser explotable si la víctima deserializa entradas maliciosas, en concreto valores muy grandes, en el campo "nanoseconds" de un valor "time". La vulnerabilidad parece haber sido solucionada en la versión 2.9.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en OpenKMIP PyKMIP (CVE-2018-1000872)
Fecha de publicación:
20/12/2018
Idioma:
Español
OpenKMIP PyKMIP en todas las versiones anteriores a la 0.8.0 contiene una vulnerabilidad CWE 399: errores de gestión de recursos (problema similar a CVE-2015-5262) en el servidor de PyKMIP que puede resultar en una denegación de servicio (DoS): el servidor puede dejar de estar disponible por uno o más clientes que abren todos los sockets disponibles. El ataque parece ser explotable mediante un cliente o clientes con sockets abiertos que nunca los cierren. La vulnerabilidad parece haber sido solucionada en la versión 0.8.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en PHP (CVE-2018-1000874)
Fecha de publicación:
20/12/2018
Idioma:
Español
** EN DISPUTA ** PHP cebe markdown parser, en versiones 1.2.0 y anteriores, contiene una vulnerabilidad Cross-Site Scripting (XSS) en todos los analizadores distribuidos que permite que un script maliciosamente manipulado se ejecute, lo que resulta en la pérdida de datos y de información sensible del usuario. Este ataque puede explotarse manipulando una carga útil envuelta en tres acentos graves con un carácter delante: L: "``````". NOTA: Esto se ha argumentado como un no-problema (ver referencias) ya que no es tarea del analizador sanear el código malicioso de un documento analizado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en log-user-session (CVE-2018-1000857)
Fecha de publicación:
20/12/2018
Idioma:
Español
log-user-session, en versiones 0.7 y anteriores, contiene una vulnerabilidad de salto de directorio en el binario Main SUID en /usr/local/bin/log-user-session que puede resultar en que un usuario eleve sus privilegios a root. El ataque parece ser explotable mediante un usuario malicioso sin privilegios que ejecute el binario vulnerable/variable de entorno (remoto). También es posible manipular un shell-shock similar.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/06/2020

Vulnerabilidad en easymon (CVE-2018-1000855)
Fecha de publicación:
20/12/2018
Idioma:
Español
easymon, en versiones 1.4 y anteriores, contiene una vulnerabilidad Cross Site Scripting (XSS) en el endpoint donde se monta la monitorización. Esto puede resultar en Cross-Site Scripting (XSS) reflejado, que afecta a Firefox. Puede emplearse para robar cookies, dependiendo de las opciones de la cookie. El ataque parece ser explotable mediante una víctima que haga clic en una URL manipulada que contiene la carga útil XSS. La vulnerabilidad parece haber sido solucionada en las versiones 1.4.1 y siguientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2019

Vulnerabilidad en Android (CVE-2018-11986)
Fecha de publicación:
20/12/2018
Idioma:
Español
En todas las distribuciones de Android de CAF (Android for MSM, Firefox OS for MSM y QRD Android) que utilizan el kernel de Linux, hay un posible desbordamiento de búfer en los FIFO de TX y TX del microcontrolador en el subsistema de la cámara empleado para intercambiar comandos y mensajes entre el microfirmware y el controlador CPP.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2019

Vulnerabilidad en Android (CVE-2018-11988)
Fecha de publicación:
20/12/2018
Idioma:
Español
En todas las distribuciones de Android de CAF (Android for MSM, Firefox OS for MSM y QRD Android) que utilizan el kernel de Linux, hay un problema de desreferencia de puntero no fiable al acceder a una variable que ya está liberada.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2019

Vulnerabilidad en Android (CVE-2018-11987)
Fecha de publicación:
20/12/2018
Idioma:
Español
En todas las distribuciones de Android de CAF (Android for MSM, Firefox OS for MSM y QRD Android) que utilizan el kernel de Linux, si hay un error improbable de asignación de memoria para el grupo seguro en el arranque, puede resultar en un acceso al puntero incorrecto y al pánico del kernel.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2019

Vulnerabilidad en Wampserver (CVE-2018-1000848)
Fecha de publicación:
20/12/2018
Idioma:
Español
Wampserver, en versiones anteriores a la 3.1.5, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en la página del localhost index.php. Este ataque parece ser explotable mediante una carga útil en onmouseover. La vulnerabilidad parece haber sido solucionada en las versiones 3.1.5 y siguientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en FreshDNS (CVE-2018-1000847)
Fecha de publicación:
20/12/2018
Idioma:
Español
FreshDNS, en versiones 1.0.3 y anteriores, contiene una vulnerabilidad Cross Site Scripting (XSS) en el formulario de datos Account y el editor de Zone que puede resultar en la ejecución del código JavaScript del atacante en la sesión de la víctima. El ataque parece ser explotable si el atacante almacena una cadena especialmente manipulada como su nombre completo en los detalles de su cuenta. La víctima (por ejemplo, el administrador de la instancia de FreshDNS) abre la lista de usuarios en la interfaz de administrador. La vulnerabilidad parece haber sido solucionada en las versiones 1.0.5 y siguientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2019
Suscribirse a Vulnerabilidades