Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en LightSAML (CVE-2018-1000165)
Fecha de publicación:
18/04/2018
Idioma:
Español
LightSAML, en versiones anteriores a la 1.3.5, contiene una vulnerabilidad de control de acceso incorrecto en la validación de firmas en readers en src/LightSaml/Model/XmlDSig/ que puede resultar en la suplantación de cualquier usuario de Identity Provider. La vulnerabilidad parece haber sido solucionada en las versiones 1.3.5 y siguientes.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en tlslite-ng (CVE-2018-1000159)
Fecha de publicación:
18/04/2018
Idioma:
Español
tlslite-ng, en versiones 0.7.3 y anteriores, desde el commit con ID d7b288316bca7bcdd082e6ccff5491e241305233, contiene un CWE-354: vulnerabilidad de validación incorrecta del valor de comprobación de integridad en la implementación TLS, tlslite/utils/constanttime.py: ct_check_cbc_mac_and_pad(); en la línea "end_pos = data_len - 1 - mac.digest_size" que puede resultar en que un atacante manipule el texto cifrado TLS, que no será detectado por recibir tlslite-ng. El ataque parece ser explotable mediante un Man-in-the-Middle (MitM) en una conexión de red. La vulnerabilidad parece haber sido solucionada tras el commit con ID 3674815d1b0f7484454995e2737a352e0a6a93d8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en Kodi (CVE-2018-8831)
Fecha de publicación:
18/04/2018
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Scripting (XSS) persistente en Kodi (anteriormente conocido como XBMC), hasta la versión 17.6, que permite la ejecución de código HTML o scripts arbitrarios en el contexto del navegador de la víctima mediante una lista de reproducción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2018

Vulnerabilidad en Pivotal Gemfire for PCF (CVE-2016-8220)
Fecha de publicación:
18/04/2018
Idioma:
Español
Pivotal Gemfire for PCF, en versiones 1.6.x anteriores a la 1.6.5.0 y 1.7.x anteriores a la 1.7.1.0, contienen una vulnerabilidad de divulgación de información. La aplicación expuso de forma involuntaria credenciales de replicación WAN en una ruta pública.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2018

Vulnerabilidad en Cloud Foundry Cloud Controller (CVE-2016-2169)
Fecha de publicación:
18/04/2018
Idioma:
Español
Cloud Foundry Cloud Controller, capi-release en versiones anteriores a la 1.0.0 y cf-release en versiones anteriores a la v237, contienen un error de lógica de negocio. Un desarrollador de aplicaciones puede crear una aplicación con una ruta que entra en conflicto con una ruta de servicio de plataforma y recibir tráfico destinado al servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2018

Vulnerabilidad en Dell EMC ViPR Controller (CVE-2018-1240)
Fecha de publicación:
18/04/2018
Idioma:
Español
Dell EMC ViPR Controller, en versiones posteriores a la 3.0.0.38, contiene una vulnerabilidad de fuga de información en el VRRP. VRRP se establece por defecto en una configuración insegura en el componente keepalived de Linux, que envía la contraseña del clúster en texto plano mediante multicast. Un usuario malicioso que tenga acceso a la subred vCloud en la que se despliega ViPR podría rastrear la contraseña y emplearla para asumir el control de la IP virtual del clúster y provocar una denegación de servicio en ese sistema ViPR Controller.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en el programador de capturas en gluster (CVE-2018-1088)
Fecha de publicación:
18/04/2018
Idioma:
Español
Se ha encontrado un error de escalado de privilegios en el programador de capturas en gluster, en versiones 3.x. Cualquier cliente gluster al que se le permita montar volúmenes de gluster también podría montar un volumen de almacenamiento compartido de gluster y escalar privilegios programando un cronjob malicioso mediante un enlace simbólico.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2023

Vulnerabilidad en Spring Data Commons (CVE-2018-1274)
Fecha de publicación:
18/04/2018
Idioma:
Español
Spring Data Commons, en versiones anteriores a las comprendidas entre la 1.13 y la 1.13.10 y entre la 2.0 y la 2.0.5 y versiones antiguas no soportadas, contiene una vulnerabilidad property path parser provocada por la asignación de recursos ilimitada. Un usuario (o atacante) remoto no autenticado puede enviar peticiones contra los endpoints REST de Spring Data o a los endpoints empleando el análisis de ruta de propiedades, lo que puede provocar una denegación de servicio (consumo de CPU y de recursos).
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2025

Vulnerabilidad en mruby (CVE-2018-10199)
Fecha de publicación:
18/04/2018
Idioma:
Español
mruby, en versiones hasta, e incluyendo, la 1.4.0, existe una vulnerabilidad de uso de memoria previamente liberada en src/io.c::File#initilialize_copy(). Un atacante que pueda hacer que se ejecute código Ruby puede aprovecharse de esto para ejecutar código arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/05/2018

Vulnerabilidad en Hikvision Camera (CVE-2018-6413)
Fecha de publicación:
18/04/2018
Idioma:
Español
Hay un desbordamiento de búfer en Hikvision Camera DS-2CD9111-S, V4.1.2 build 160203 y anteriores, que permite que atacantes remotos lancen un ataque de denegación de servicio (interrupción del servicio) mediante una petición de interfaz de configuración de red manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2018

Vulnerabilidad en Android en productos Qualcomm (CVE-2016-10496)
Fecha de publicación:
18/04/2018
Idioma:
Español
En Android antes del nivel de parcheo de seguridad del 2018-04-05 o antes en Qualcomm Snapdragon Mobile MDM9635M, SD 210/SD 212/SD 205, SD 410/12, SD 450, SD 615/16/SD 415, SD 625, SD 650/52, SD 808 y SD 810, puede ocurrir una desreferencia de puntero NULL durante un handshake SSL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/05/2018

Vulnerabilidad en Android en productos Qualcomm (CVE-2016-10497)
Fecha de publicación:
18/04/2018
Idioma:
Español
En Android, antes del nivel de parche de seguridad del 2018-04-05 o antes en Qualcomm Snapdragon Mobile y Snapdragon Wear MDM9206, MDM9607, MDM9615, MDM9625, MDM9635M, MDM9640, MDM9645, MDM9650, MDM9655, MSM8909W, SD 210/SD 212/SD 205, SD 400, SD 410/12, SD 425, SD 430, SD 450, SD 615/16/SD 415, SD 617, SD 625, SD 650/52, SD 800, SD 808, SD 810, SD 820, SD 835, SD 845, SD 850 y SDX20, la asignación incorrecta de CFG puede provocar un filtrado de la memoria dinámica (heap).
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2018
Suscribirse a Vulnerabilidades