Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el orthrus binario en la carpeta /sbin en los dispositivos DCS-1100 y DCS-1130 de D-Link (CVE-2017-8414)
Fecha de publicación:
02/07/2019
Idioma:
Español
Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El orthrus binario en la carpeta /sbin del dispositivo maneja todas las conexiones UPnP recibidas por el mismo. Al parecer el binario realiza una operación sprintf en la dirección 0x0000A3E4 con el valor en el parámetro de línea de comando "-f" y lo almacena en la pila. En vista de que no hay una comprobación de longitud, esto resulta en una corrupción de los registros para la función sub_A098, que resulta en una corrupción de la memoria.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2021

Vulnerabilidad en las sumas de comprobación de token del cliente en Spacewalk (CVE-2019-10136)
Fecha de publicación:
02/07/2019
Idioma:
Español
Se encontró que Spacewalk, en todas las versiones hasta la 2.8, no computaba de forma segura las sumas de comprobación de token del cliente. Un atacante con un conjunto de encabezados válidos, pero expirados y autenticados, podría mover algunos dígitos, extendiendo artificialmente la validez de la sesión sin modificar la suma de comprobación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en los tokens del cliente en la caché en el proxy de spacewalk (CVE-2019-10137)
Fecha de publicación:
02/07/2019
Idioma:
Español
Se encontró un fallo de salto de ruta (path) en el proxy de spacewalk, en todas las versiones hasta la 2.8, en la manera en que el proxy procesa los tokens del cliente en la caché. Un atacante remoto no autenticado podría utilizar este fallo para probar la existencia de archivos arbitrarios, si tienen acceso al sistema de archivos del proxy, o si pueden ejecutar código arbitrario en el contexto del proceso httpd.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/02/2023

Vulnerabilidad en las instancias privadas y públicas en Read the Docs (CVE-2019-13175)
Fecha de publicación:
02/07/2019
Idioma:
Español
Read the Docs anterior a versión 3.5.1, presenta un Redireccionamiento Abierto si se utilizan determinados redireccionamientos definidos por el usuario. Esto afecta a las instancias privadas de Read the Docs (además de los sitios web públicos readthedocs.org).
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2019

Vulnerabilidad en Alpha7 PC Loader de Fuji Electric (CVE-2019-10975)
Fecha de publicación:
02/07/2019
Idioma:
Español
Una vulnerabilidad de lectura fuera de los límites ha sido identificada en Alpha7 PC Loader versiones 1.1 y anteriores de Fuji Electric, lo que puede bloquear el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en fstream.DirWriter() en fstream (CVE-2019-13173)
Fecha de publicación:
02/07/2019
Idioma:
Español
fstream anterior a versión 1.0.12, es susceptible a la sobrescritura de archivos arbitrarios. La extracción de archivos comprimidos que contienen un enlace físico hacia un archivo que ya existe en el sistema y un archivo que coincida con el enlace físico, sobrescribirá el archivo del sistema con el contenido del archivo extraído. La función fstream.DirWriter() es vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en el rtspd binario en la carpeta /sbin en los dispositivos DCS-1130 y DCS-1100 de D-Link (CVE-2017-8405)
Fecha de publicación:
02/07/2019
Idioma:
Español
Se detectó un problema en los dispositivos DCS-1130 y DCS-1100 de D-Link. El rtspd binario en la carpeta /sbin del dispositivo maneja todas las conexiones rtsp recibidas por el dispositivo. Al parecer el binario carga en la dirección 0x00012CF4 un flag llamado "Autenticar" que indica si un usuario debe estar autenticado o no anterior a permitir el acceso a la fuente de video. Por defecto, el valor de este flag es cero y se puede configurar y desconfigurar mediante la interfaz HTTP y la pestaña de configuración de red, como se muestra a continuación. El dispositivo requiere que un usuario inicie sesión en la interfaz de administración HTTP del dispositivo para suministrar un nombre de usuario y una contraseña válida. Sin embargo, el dispositivo no impone la misma restricción por defecto en la URL RTSP debido a que la casilla de comprobación no está activada por defecto, lo que permite que cualquier atacante que posea la dirección IP externa de la cámara visualice la fuente de vídeo en tiempo real. La severidad de este ataque se incrementa por el hecho de que hay más de 100.000 dispositivos D-Link instalados.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2021

Vulnerabilidad en crossdomain.xml y en la interfaz de administración web en los dispositivos DCS-1130 de D-Link (CVE-2017-8406)
Fecha de publicación:
02/07/2019
Idioma:
Español
Se detectó un problema en los dispositivos DCS-1130 de D-Link. El dispositivo provee un archivo crossdomain.xml sin restricciones sobre quién puede acceder al servidor web. Esto permite que un archivo flash alojado en cualquier dominio realice llamadas al servidor web del dispositivo y extraiga cualquier información almacenada en el mismo. En este caso, las credenciales del usuario son almacenadas en texto sin cifrar en el dispositivo y pueden ser extraídas fácilmente. También parece que el dispositivo no implementa ningún mecanismo de protección contra un problema de tipo cross-site scripting forgery, que permite a un atacante engañar a un usuario que ha iniciado sesión en la interfaz de administración web para ejecutar un ataque de tipo cross-site flashing en el navegador del usuario y ejecutar cualquier acción sobre el dispositivo provisto mediante la interfaz de administración web que roba las credenciales de la respuesta del archivo tools_admin.cgi y las muestra dentro de un campo de texto.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2021

Vulnerabilidad en Linear eMerge (CVE-2019-7254)
Fecha de publicación:
02/07/2019
Idioma:
Español
Los dispositivos Linear eMerge E3-Series permiten la inclusión de archivos.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/10/2021

Vulnerabilidad en Linear eMerge (CVE-2019-7255)
Fecha de publicación:
02/07/2019
Idioma:
Español
Los dispositivos Linear eMerge E3-Series permiten XSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2022

Vulnerabilidad en Linear eMerge (CVE-2019-7257)
Fecha de publicación:
02/07/2019
Idioma:
Español
Los dispositivos Linear eMerge E3-Series permiten la carga de archivos sin restricciones.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/10/2022

Vulnerabilidad en Linear eMerge (CVE-2019-7258)
Fecha de publicación:
02/07/2019
Idioma:
Español
Los dispositivos Linear eMerge E3-Series permiten la escalada de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/10/2022
Suscribirse a Vulnerabilidades