Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Open Ticket Request System (OTRS) (CVE-2019-10066)
Fecha de publicación:
22/05/2019
Idioma:
Español
Se encontró un problema en Open Ticket Request System (OTRS) versión 7.x hasta 7.0.6, Community Edition versión 6.0.x hasta 6.0.17 y OTRSAppointmentCalendar versión 5.0.x hasta 5.0.12. Un atacante logeado en OTRS como agente con los permisos apropiados puede crear una cita de calendario minuciosamente diseñada para provocar la ejecución de JavaScript en el contexto de OTRS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2019

Vulnerabilidad en API en WSO2 API Manager (CVE-2019-6513)
Fecha de publicación:
21/05/2019
Idioma:
Español
Se encontró un problema en WSO2 API Manager 2.6.0. Es posible que un usuario logeado cargue, como documentación API, algún tipo de archivo cambiando la extensión a una permitida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en OpenText Brava! Enterprise and Brava! Server (CVE-2019-12270)
Fecha de publicación:
21/05/2019
Idioma:
Español
OpenText Brava! Enterprise and Brava! Server 7.5 hasta 16.4 configura permisos excesivos por defecto en Windows. Durante la instalación, un recurso compartido de archivos displaylistcache es creado en el servidor de Windows con permisos completos de lectura y escritura para el grupo Everyone, tanto en los niveles NTFS como Share. La partición se usa para recuperar documentos para su procesamiento y para almacenar documentos procesados ??para visualizarlos en el navegador. El único acceso de nivel compartido requerido es de lectura /escritura por la cuenta de servicio JobProcessor. En el nivel local filesystem, los únicos permisos adicionales necesarios serían los de lectura /escritura desde el motor servlet, como Tomcat. (Los componentes del servidor afectados no se instalan con Content Server por defecto y deben instalarse separadamente). NOTA: la posición del proveedor es que los clientes no deben usar esta configuración predeterminada sin consultar la documentación.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en Enigmail (CVE-2019-12269)
Fecha de publicación:
21/05/2019
Idioma:
Español
Enigmail anterior a 2.0.11 permite la signature spoofing PGP: para un mensaje PGP en línea, un atacante puede lograr que el producto muestre una mensaje indicativo "correctly signed", pero muestra un texto distinto no autenticado.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus (CVE-2019-12252)
Fecha de publicación:
21/05/2019
Idioma:
Español
En Zoho ManageEngine ServiceDesk Plus hasta la versión 10.5, los usuarios con menos privilegios (guest) pueden ver una publicación arbitraria agregando su número al SDNotify.do?notifyModule=Solution&mode=E-Mail&notifyTo=SOLFORWARD&id= substring.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/03/2023

Vulnerabilidad en CentOS-WebPanel.com (CVE-2019-12190)
Fecha de publicación:
21/05/2019
Idioma:
Español
Fue descubierto un XSS en CentOS-WebPanel.com (conocido como CWP) CentOS Web Panel hasta la versión 0.9.8.747 por medio del parámetro testacc / fileManager2.php fm_current_dir o filename.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/01/2023

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus (CVE-2019-12189)
Fecha de publicación:
21/05/2019
Idioma:
Español
Fue descubierto un problema en Zoho ManageEngine ServiceDesk Plus 9.3. Existe un XSS a través del campo de búsqueda SearchN.do.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/05/2019

Vulnerabilidad en mode=posting&delete_posting en my little forum (CVE-2019-12253)
Fecha de publicación:
21/05/2019
Idioma:
Español
my little forum before 2.4.20 antes de 2.4.20 admite que CSRF suprima publicaciones, como lo demuestra mode=posting&delete_posting.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2019

Vulnerabilidad en IdentityServer IdentityServer4 (CVE-2019-12250)
Fecha de publicación:
21/05/2019
Idioma:
Español
** EN DISPUTA ** IdentityServer IdentityServer4 hasta 2.4 ha almacenado XSS a través del método httpContext en el host / Extensions / RequestLoggerMiddleware.cs LogForErrorContext, que se puede activar al ver un registro. NOTA: el mantenedor de software discute que esto es una vulnerabilidad porque el registrador de solicitudes no es parte de IdentityServer, sino que solo es nuestro host de prueba de desarrollo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2024

Vulnerabilidad en index.php?do=sadmin_ceditpost cvalue en sadmin / ceditpost.php en UCMS (CVE-2019-12251)
Fecha de publicación:
21/05/2019
Idioma:
Español
sadmin / ceditpost.php en UCMS 1.4.7 admite la inyección SQL por medio del parámetro index.php?do=sadmin_ceditpost cvalue
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2019

Vulnerabilidad en Jenkins Credentials Plugin (CVE-2019-10320)
Fecha de publicación:
21/05/2019
Idioma:
Español
Jenkins Credentials Plugin 2.1.18 y versiones anteriores permitieron a los usuarios con permiso crear o actualizar credenciales para confirmar la existencia de archivos en el maestro Jenkins con una attacker-specified path y obtener el contenido del certificado de los archivos que contienen un PKCS # 12 certificate.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en Jenkins PAM Authentication Plugin (CVE-2019-10319)
Fecha de publicación:
21/05/2019
Idioma:
Español
Una falta de comprobación de permisos en Jenkins PAM Authentication Plugin 1.5 y anteriores, excepto 1.4.1 en PamSecurityRealm.DescriptorImpl#doTest permitió a los usuarios con permiso Overall/Read obtener información limitada sobre el archivo /etc/shadow y el usuario está ejecutando como Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023
Suscribirse a Vulnerabilidades