Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IBM WebSphere Application Server (CVE-2019-4046)
Fecha de publicación:
25/03/2019
Idioma:
Español
IBM WebSphere Application Server 7.0, 8.0, 8.5 y 9.0 es vulnerable a denegaciones de servicio causadas por una gestión inadecuada de las cabeceras de peticiones. Un atacante remoto podría explotar esta vulnerabilidad para provocar un consumo de memoria. IBM X-Force ID: 156242.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2022

Vulnerabilidad en Kibana (CVE-2019-7608)
Fecha de publicación:
25/03/2019
Idioma:
Español
Las versiones anteriores a las 5.6.15 y 6.6.1 de Kibana presentan una vulnerabilidad de Cross-Site Scripting (XSS) que podría permitir a un atacante obtener información sensible o realizar acciones destructivas en nombre de otros usuarios de Kibana.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/09/2019

Vulnerabilidad en Kibana (CVE-2019-7610)
Fecha de publicación:
25/03/2019
Idioma:
Español
Kibana anterior a versión 6.6.1, contienen un fallo de ejecución de código arbitrario en el registrador de auditoría de seguridad. Si una instancia de Kibana presenta la configuración xpack.security.audit.enabled establecida en true, un atacante podría enviar una petición que intente ejecutar código javascript. Esto podría conllevar a un atacante a ejecutar comandos arbitrarios con permisos del proceso kibana en el sistema host.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/07/2019

Vulnerabilidad en Elasticsearch (CVE-2019-7611)
Fecha de publicación:
25/03/2019
Idioma:
Español
Se ha encontrado un problema de permiso en versiones anteriores a las 5.6.15 y 6.6.1 de Elasticsearch cuando se encuentran deshabilitados Field Level Security y Document Level Security, y se utilizan los endpoints _aliases, _shrink o _split. Si el archivo elasticsearch.yml tiene la opción xpack.security.dls_fls.enabled configurada en ‘‘false’’, se omiten ciertas comprobaciones de permiso cuando los usuarios ejecutan una de las acciones mencionadas anteriormente, para hacer que los datos existentes sean disponibles bajo un nuevo alias o nombre de índice. Esto podría resultar en que un atacante logre permisos adicionales en un índice restringido.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2020

Vulnerabilidad en API REST de ovirt (CVE-2019-3879)
Fecha de publicación:
25/03/2019
Idioma:
Español
Se ha observado que en la API REST de ovirt, en versiones anteriores a la 4.3.2.1, RemoveDiskCommand se activa como un comando interno, haciendo que se omita la validación del permiso que se debería ejecutar en el usuario que hace la llamada. Un usuario con bajos privilegios (p. ej., Basic Operations) podría explotar este error para eliminar discos conectados a invitados.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2020

Vulnerabilidad en Logstash (CVE-2019-7612)
Fecha de publicación:
25/03/2019
Idioma:
Español
Se ha encontrado un error de divulgación de datos sensibles en la manera en la que las versiones de Logstash anteriores a las 5.6.15 y 6.6.1 registran URL mal formadas. Si una URL mal formada forma parte de la configuración del LogStash, las credenciales de la URL podrían ser accidentalmente registradas como parte del mensaje de error.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/10/2020

Vulnerabilidad en Winlogbeat (CVE-2019-7613)
Fecha de publicación:
25/03/2019
Idioma:
Español
Las versiones de Winlogbeat anteriores a las 5.6.16 y 6.6.2 presentaban un error de insuficiencia de registro. Un atacante capaz de inyectar ciertos caracteres en una entrada de registro podría impedir que Winlogbeat registre el evento.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/10/2020

Vulnerabilidad en Kibana (CVE-2019-7609)
Fecha de publicación:
25/03/2019
Idioma:
Español
Las versiones anteriores a las 5.6.15 y 6.6.1 de Kibana contienen un error de ejecución de código arbitrario en el visualizador Timelion. Un atacante con acceso a la aplicación Timelion podría enviar una petición que intente ejecutar código javascript. Esto podría resultar en que un atacante ejecute comandos arbitrarios con permisos del proceso de Kibana en el sistema host.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2025

Vulnerabilidad en libssh2 (CVE-2019-3860)
Fecha de publicación:
25/03/2019
Idioma:
Español
Se ha descubierto un error de lectura fuera de límites en libssh2, en versiones anteriores a la 1.8.1, en la forma en la que se analizan los paquetes SFTP con cargas útiles vacías. Un atacante remoto que comprometa un servidor SSH podría ser capaz de provocar una denegación de servicio o una lectura de datos en la memoria del cliente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en libssh2 (CVE-2019-3861)
Fecha de publicación:
25/03/2019
Idioma:
Español
Se ha descubierto un error de lectura fuera de límites en libssh2, en versiones anteriores a la 1.8.1, en la forma en la que se analizan los paquetes SSH con un valor de longitud de relleno mayor que el propio paquete. Un atacante remoto que comprometa un servidor SSH podría ser capaz de provocar una denegación de servicio o una lectura de datos en la memoria del cliente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Jenzabar JICS (CVE-2019-10011)
Fecha de publicación:
25/03/2019
Idioma:
Español
ICS/StaticPages/AddTestUsers.aspx en Jenzabar JICS (también conocida como Internet Campus Solution) anterior a 2019-02-06 permite a los atacantes remotos crear un número arbitrario de cuentas con una contraseña de 1234.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Atlassian Confluence Server and Data Center (CVE-2019-3395)
Fecha de publicación:
25/03/2019
Idioma:
Español
El endpoint WebDAV en Atlassian Confluence Server and Data Center en versiones anteriores a la 6.6.7 (la versión solucionada para 6.6.x), desde la versión 6.7.0 hasta antes de la 6.8.5 (la versión solucionada para 6.8.x) y desde la versión 6.9.0 hasta antes de la 6.9.3 (la versión solucionada para 6.9.x) permite a los atacantes remotos enviar peticiones arbitrarias HTTP y WebDAV desde una instancia de Confluence Server or Data Center a través de una Server-Side Request Forgery.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/12/2021
Suscribirse a Vulnerabilidades