Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IBM Cloud Application Performance Management (CVE-2019-4086)
Fecha de publicación:
17/09/2019
Idioma:
Español
IBM Cloud Application Performance Management versión 8.1.4, podría permitir a un atacante remoto secuestrar la acción de cliqueo de la víctima. Mediante la persuasión de una víctima para que visite un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar las acciones de cliqueo de la víctima y posiblemente activar nuevos ataques contra la víctima. ID de IBM X-Force: 157509.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2022

Vulnerabilidad en tokens de autorización o cookies de sesión en IBM Cognos Controller (CVE-2019-4171)
Fecha de publicación:
17/09/2019
Idioma:
Español
IBM Cognos Controller versiones 10.3.0, 10.3.1, 10.4.0 y 10.4.1, no establece el atributo seguro en tokens de autorización o cookies de sesión. Esto podría permitir a un atacante obtener información confidencial usando técnicas de tipo man in the middle. ID de IBM X-Force: 158876.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/12/2022

Vulnerabilidad en el producto Micro Focus Service Manager. (CVE-2019-11666)
Fecha de publicación:
17/09/2019
Idioma:
Español
Deserialización no segura de datos no confiables en el producto Micro Focus Service Manager en las versiones 9.30, 9.31, 9.32, 9.33, 9.34, 9.35, 9.40, 9.41, 9.50, 9.51, 9.52, 9.60, 9.61, 9.62. La vulnerabilidad podría ser explotada para permitir la deserialización no segura de datos no confiables.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en OPC UA en 3S-Smart Software Solutions GmbH CODESYS V3 OPC UA Server. (CVE-2019-13542)
Fecha de publicación:
17/09/2019
Idioma:
Español
3S-Smart Software Solutions GmbH CODESYS V3 OPC UA Server, todas las versiones desde 3.5.11.0 hasta 3.5.15.0, permite a un atacante enviar peticiones diseñadas desde un cliente OPC UA confiable que causa una desreferencia del puntero NULL, lo que puede desencadenar una condición de denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la información de contacto en Micro Focus Service Manager. (CVE-2019-11667)
Fecha de publicación:
17/09/2019
Idioma:
Español
Un acceso no autorizado a la información de contacto en Micro Focus Service Manager, versiones 9.41, 9.50, 9.51, 9.52, 9.60, 9.61, 9.62. La vulnerabilidad podría ser explotada para permitir el acceso no autorizado a datos privados.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la información de actualización en línea en algunos paquetes de firmware de diversos productos Dahua. (CVE-2019-9681)
Fecha de publicación:
17/09/2019
Idioma:
Español
La información de actualización en línea en algunos paquetes de firmware de productos Dahua no está encriptada. Los atacantes pueden obtener esta información mediante el análisis de paquetes de firmware por medios específicos. Los productos afectados incluyen: IPC-HDW1X2X, IPC-HFW1X2X, IPC-HDW2X2X, IPC-HFW2X2X, IPC-HDW4X2X, IPC-HFW4X2X, IPC-HDBW4X2X, IPC-HDW5X2X, IPC-HX2, para versiones cuyo tiempo de compilación es antes del 18 de agosto de 2019.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en paquetes de red en el Control Runtime en 3S-Smart CODESYS. (CVE-2019-9009)
Fecha de publicación:
17/09/2019
Idioma:
Español
Se descubrió un problema en 3S-Smart CODESYS versiones anteriores a 3.5.15.0. Unos paquetes de red diseñados causan que el Control Runtime se bloquee.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en Norton Password Manager. (CVE-2019-12755)
Fecha de publicación:
17/09/2019
Idioma:
Español
Norton Password Manager, versiones anteriores a 6.5.0.2104, puede ser susceptible a un problema de divulgación de información, que es un tipo de vulnerabilidad por la cual se presenta una divulgación no intencional de información en un actor que no está explícitamente autorizado para tener acceso a esa información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en la funcionalidad vhost del kernel de Linux (CVE-2019-14835)
Fecha de publicación:
17/09/2019
Idioma:
Español
Se encontró un fallo de desbordamiento de búfer, en las versiones desde 2.6.34 hasta 5.2.x, en la manera en que la funcionalidad vhost del kernel de Linux que traduce los búferes virtueue en IOV, registraba los descriptores del búfer durante una migración. Un usuario invitado privilegiado capaz de pasar descriptores con una longitud no válida hacia el host cuando la migración está en marcha, podría usar este fallo para aumentar sus privilegios sobre el host.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2023

Vulnerabilidad en ASUSWRT (CVE-2018-20336)
Fecha de publicación:
17/09/2019
Idioma:
Español
Se detectó un problema en ASUSWRT versión 3.0.0.4.384.20308. Se presenta un problema de desbordamiento del búfer en la región stack de la memoria en la función parse_req_queries en el archivo wanduck.c mediante una cadena larga sobre UDP, lo que puede conllevar a una fuga de información.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/09/2019

Vulnerabilidad en las cookies de sesión en FreeIPA (CVE-2019-14826)
Fecha de publicación:
17/09/2019
Idioma:
Español
Se encontró un fallo en FreeIPA versiones 4.5.0 y posteriores. Las cookies de sesión se conservaron en la memoria caché después de cerrar sesión. Un atacante podría abusar de este fallo si obtienen cookies de sesión válidas previamente y puede usar esto para conseguir acceso a la sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en URL en el componente Login en HRworks (CVE-2019-11559)
Fecha de publicación:
17/09/2019
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en HRworks Versión 1.16.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro URL en el componente Login.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/02/2023
Suscribirse a Vulnerabilidades