Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Go Ethereum (CVE-2018-19184)
Fecha de publicación:
12/11/2018
Idioma:
Español
cmd/evm/runner.go en Go Ethereum (alias geth) 1.8.17 permite a los atacantes provocar una denegación de servicio (SEGV) mediante un código de bytes manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2018

Vulnerabilidad en ethereumjs-vm (CVE-2018-19183)
Fecha de publicación:
12/11/2018
Idioma:
Español
ethereumjs-vm 2.4.0 permite a los atacantes provocar una denegación de servicio (fallo vm.runCode failure y REVERT) a través de un atributo "code":Buffer.from(my_code, 'hex')".
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2024

Vulnerabilidad en YUNUCMS (CVE-2018-19181)
Fecha de publicación:
11/11/2018
Idioma:
Español
statics/ueditor/php/vendedor/Local.class.php en YUNUCMS 1.1.5 permite la eliminación arbitraria de archivos a través del parámetro key en statics/ueditor/php/controller.php?action=remove, tal y como queda demostrado al usar un salto de directorio para eliminar el archivo install.lock.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/12/2018

Vulnerabilidad en YUNUCMS (CVE-2018-19180)
Fecha de publicación:
11/11/2018
Idioma:
Español
statics/app/index/controller/Install.php en YUNUCMS 1.1.5 (si install.lock no está presente) permite a los atacantes remotos ejecutar código PHP arbitrario colocando este código en el campo DB_PREFIX en index.php?s=index/install/setup2, que se escribe en database.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/12/2018

Vulnerabilidad en JEESNS (CVE-2018-19178)
Fecha de publicación:
11/11/2018
Idioma:
Español
En JEESNS 1.3, com/lxinet/jeesns/core/utils/XssHttpServletRequestWrapper.java permite Cross-Site Scripting (XSS) persistente a través de un elemento HTML EMBED. Esta es una vulnerabilidad diferente a CVE-2018-17886.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2018

Vulnerabilidad en Open Ticket Request System (CVE-2018-19142)
Fecha de publicación:
11/11/2018
Idioma:
Español
Open Ticket Request System (OTRS) en versiones 6.0.x anteriores a la 6.0.13 permite que un administrador realice un ataque Cross-Site Scripting (XSS) mediante una URL modificada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2018

Vulnerabilidad en Open Ticket Request System (CVE-2018-19141)
Fecha de publicación:
11/11/2018
Idioma:
Español
Open Ticket Request System (OTRS) en versiones 4.0.x anteriores a la 4.0.33 y 5.0.x anteriores a la 5.0.31 permite que un administrador realice un ataque Cross-Site Scripting (XSS) mediante una URL modificada porque las preferencias de usuario y cliente se gestionan de manera incorrecta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2018

Vulnerabilidad en JPress (CVE-2018-19170)
Fecha de publicación:
11/11/2018
Idioma:
Español
En JPress v1.0-rc.5, hay Cross-Site Scripting (XSS) almacenado a través de cada uno de los tres primeros campos de entrada en el URI de Starter-tomcat-1.0/admin/setting, tal y como lo demuestra el parámetro web_name.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2018

Vulnerabilidad en Open Ticket Request System (CVE-2018-19143)
Fecha de publicación:
11/11/2018
Idioma:
Español
Open Ticket Request System (OTRS) en versiones 4.0.x anteriores a la 4.0.33, 5.0.x anteriores a la 5.0.31 y 6.0.x anteriores a la 6.0.13 permite que un usuario autenticado elimine los archivos a través de un formulario de envío modificado, ya que el almacenamiento en caché de la carga se maneja de forma incorrecta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en ClipperCMS (CVE-2018-19135)
Fecha de publicación:
11/11/2018
Idioma:
Español
ClipperCMS 1.3.3 no tiene protección contra Cross-Site Request Forgery (CSRF) en la subida de archivos kcfinder (habilitado por defecto). Esto puede ser utilizado por un atacante para realizar acciones para un administrador (o cualquier usuario con la capacidad de subir archivos). Con esta vulnerabilidad, se pueden subir archivos automáticamente (por defecto, permite html, pdf, xml, zip, y muchos otros tipos de archivos). Se puede acceder públicamente a un fichero en el directorio "/assets/files".
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2019

Vulnerabilidad en FruityWifi (CVE-2018-19168)
Fecha de publicación:
11/11/2018
Idioma:
Español
Inyección de metacaracteres shell en www/modules/save.php en FruityWifi (también conocido como PatatasFritas/PatataWifi) hasta la versión 2.4 permite a los atacantes remotos ejecutar código arbitrario con privilegios de root a través de un parámetro mod_name manipulado en una solicitud POST. NOTA: a diferencia de CVE-2018-17317, el atacante no necesita una sesión válida.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/10/2019

Vulnerabilidad en dispositivos ZyXEL (CVE-2017-17550)
Fecha de publicación:
10/11/2018
Idioma:
Español
Los dispositivos ZyXEL ZyWALL USG 2.12 AQQ.2 y 3.30 AQQ.7 se ven afectados por una vulnerabilidad Cross-Site Request Forgery (CSRF) mediante una acción cmd en cgi-bin/zysh-cgi para añadir una cuenta de usuario. El acceso a la cuenta podría, por ejemplo, usarse en consecuencia para Cross-Site Scripting (XSS) persistente.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2018
Suscribirse a Vulnerabilidades