Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el módulo statichttpserver npmd (CVE-2019-5480)
Fecha de publicación:
03/09/2019
Idioma:
Español
Una vulnerabilidad de salto de ruta (path) en versión anterior a 0.9.7 e incluida del módulo npm statichttpserver permite a los atacantes enumerar archivos en carpetas arbitrarias.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Zynq UltraScale + (CVE-2019-5478)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se ha descubierto una debilidad en el modo de inicio Encrypt Only en los dispositivos Zynq UltraScale +. Esto podría llevar a que un adversario pueda modificar los campos de control de la imagen de arranque y provocar un comportamiento de arranque seguro incorrecto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/11/2024

Vulnerabilidad en larvitbase-api (CVE-2019-5479)
Fecha de publicación:
03/09/2019
Idioma:
Español
Una vulnerabilidad de solicitud no deseada en versiones anteriores a la 0.5.5 larvitbase-api puede permitir que un atacante cargue código arbitrario de no producción (archivo JavaScript).
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en Lenovo XClarity Administrator (LXCA) (CVE-2019-6182)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se informó una vulnerabilidad de inyección CSV almacenada en Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 2.5.0 que podría permitir a un usuario administrativo almacenar datos con formato incorrecto en trabajos de LXCA y datos de registro de eventos, lo que podría dar como resultado fórmulas diseñadas almacenadas en un archivo CSV exportado. La fórmula diseñada no se ejecuta en LXCA.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2022

Vulnerabilidad en Lenovo XClarity Administrator (LXCA) (CVE-2019-6181)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se informo de una vulnerabilidad Cross-Site Scripting (XSS) reflejado en Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 2.5.0 que podría permitir una URL diseñada, si se visita, hiciera que el código JavaScript se ejecute en el navegador web del usuario. El código JavaScript no se ejecuta en LXCA en sí mismo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2022

Vulnerabilidad en Lenovo XClarity Administrator (LXCA) (CVE-2019-6180)
Fecha de publicación:
03/09/2019
Idioma:
Español
Una vulnerabilidad de Cross-Site Scripting (XSS) persistente, fue reportada en Lenovo XClarity Administrator (LXCA) versiones anteriores a la 2.5.0 esto podría permitir que un usuario administrativo haga que el código JavaScript se almacene en LXCA, que luego puede ejecutarse en el navegador web del usuario. El código JavaScript no se ejecuta en el propio LXCA.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2022

Vulnerabilidad en Lenovo XClarity Administrator (LXCA), Lenovo XClarity Integrator (LXCI) para Microsoft System Center y Lenovo XClarity Integrator (LXCI) para VMWare vCenter (CVE-2019-6179)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se informo de una vulnerabilidad de procesamiento de XEE (XML External Entity) en Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 2.5.0, Lenovo XClarity Integrator (LXCI) para Microsoft System Center en versiones anteriores a la 7.7.0, y Lenovo XClarity Integrator (LXCI) para VMWare vCenter en versiones anteriores a la 6.1.0 que podría permitir la divulgación de información.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/10/2022

Vulnerabilidad en ABUS Secvest (CVE-2019-14261)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se ha descubierto un fallo en los dispositivos ABUS Secvest FUAA50000 versión 3.01.01. Debido a una implementación insuficiente de la detección de interferencias, un atacante puede suprimir correctamente los mensajes de RF recibidos enviados entre componentes periféricos inalámbricos, por ejemplo, detectores inalámbricos o controles remotos, y la central de alarmas ABUS Secvest. Un atacante puede realizar un ataque de "interferencia reactiva". El bloqueo reactivo simplemente detecta el inicio de un mensaje de RF enviado por un componente del sistema de alarma inalámbrico ABUS Secvest, por ejemplo, un detector de movimiento inalámbrico (FUBW50000) o un control remoto (FUBE50014 o FUBE50015), y lo superpone con datos aleatorios antes del finaliza el mensaje RF original. De este modo, el receptor (central de alarma) no puede decodificar adecuadamente la señal transmitida original. Esto permite que un atacante suprima mensajes RF recibidos correctamente del sistema de alarma inalámbrico de una manera no autorizada, por ejemplo, mensajes de estado enviados por un detector que indica una intrusión.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2019

Vulnerabilidad en el plugin download-manager para WordPress (CVE-2019-15889)
Fecha de publicación:
03/09/2019
Idioma:
Español
El plugin download-manager en versiones anteriores a la 2.9.94 para WordPress tiene Cross-Site Scripting (XSS) mediante la función shortcode de categoría, como es demostrado por el parámetro orderby or search[publish_date].
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/03/2025

Vulnerabilidad en el kernel de Microsoft Windows (CVE-2019-1125)
Fecha de publicación:
03/09/2019
Idioma:
Español
Se presenta una vulnerabilidad de divulgación de información cuando ciertas unidades de procesamiento central (CPU) acceden especulativamente a la memoria, también conocida como "Windows Kernel Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-1071, CVE-2019-1073.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Dell EMC Enterprise Copy Data Management (eCDM) (CVE-2019-3751)
Fecha de publicación:
03/09/2019
Idioma:
Español
Las versiones 1.0, 1.1, 2.0, 2.1 y 3.0 de Dell EMC Enterprise Copy Data Management (eCDM) contienen una vulnerabilidad de validación de certificado. Un atacante remoto no autenticado puede potencialmente explotar esta vulnerabilidad para llevar a cabo un ataque de hombre en el medio al proporcionar un certificado elaborado e interceptar el tráfico de la víctima para ver o modificar los datos de una víctima en tránsito.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2020

Vulnerabilidad en Dell EMC Unity Operating Environment, Dell EMC UnityVSA y Dell EMC VNXe3200 (CVE-2019-3754)
Fecha de publicación:
03/09/2019
Idioma:
Español
Dell EMC Unity Operating Environment en versiones anteriores a la 5.0.0.0.5.116, Dell EMC UnityVSA en versiones anteriores a la 5.0.0.0.5.116 y Dell EMC VNXe3200 en versiones anteriores a la 3.1.10.9946299 contienen una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en la página cas/logout. Un atacante remoto no identificado podría potencialmente aprovechar esta vulnerabilidad engañando a un usuario de una aplicación víctima para que proporcione código HTML o JavaScript malicioso a Unisphere, que se devuelve a la víctima y es ejecutado por el navegador web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades