Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MailSherlock (CVE-2019-9882)
Fecha de publicación:
03/06/2019
Idioma:
Español
Los módulos múltiples de MailSherlock MSR35 y MSR45 conducen a una vulnerabilidad CSRF. Permite al atacante agregar fuentes de correo electrónico maliciosas en la lista blanca sin ninguna autorización mediante user/save_list.php?ACSION=&type=email&category=white&locate=big5&cmd=add&new=hacker@socialengineering.com&new_memo=&add=%E6%96%B0%E5%A2%9
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en MailSherlock MSR35 y MSR45 en CSRF (CVE-2019-9883)
Fecha de publicación:
03/06/2019
Idioma:
Español
Los módulos múltiples de MailSherlock MSR35 y MSR45 conducen a una vulnerabilidad CSRF. Permite al atacante elevar el privilegio de una cuenta específica a través de useradmin / cf_new.cgi? Chief = & wk_group = full & cf_name = test & cf_account = test & cf_email = & cf_acl = Management & apply_lang = & dn = sin ninguna autorización.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Malwarebytes Antimalware (CVE-2019-6739)
Fecha de publicación:
03/06/2019
Idioma:
Español
Esta vulnerabilidad permite a los atacantes remotos ejecutar código arbitrario en instalaciones vulnerables de Malwarebytes Antimalware 3.6.1.2711. La interacción del usuario es necesaria para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página web malintencionada. Hay un problema con la forma en que el producto maneja los URI dentro de ciertos esquemas. El producto no advierte al usuario de que se va a realizar una navegación peligrosa. Debido a que los caracteres especiales en el URI no están desinfectados, esto podría llevar a la ejecución de comandos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual con una integridad media. Fue ZDI-CAN-7162.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/10/2020

Vulnerabilidad en Bitdefender SafePay (CVE-2019-6736)
Fecha de publicación:
03/06/2019
Idioma:
Español
Esta vulnerabilidad permite a los atacantes remotos ejecutar código arbitrario en instalaciones vulnerables de Bitdefender SafePay versión 23.0.10.34. La interacción del usuario es necesaria para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. Este error en concreto existe dentro del procesamiento de tiscript. Al procesar el método System.Exec, la aplicación no valida correctamente una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-7234.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/10/2020

Vulnerabilidad en Bitdefender SafePay (CVE-2019-6738)
Fecha de publicación:
03/06/2019
Idioma:
Español
Esta vulnerabilidad permite a los atacantes remotos ejecutar código arbitrario en instalaciones vulnerables de Bitdefender SafePay 23.0.10.34. La interacción del usuario es necesaria para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. Este error en concreto existe dentro del procesamiento de TIScript. Al procesar el método de inicio, la aplicación no valida correctamente una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-7250.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/10/2020

Vulnerabilidad en Bitdefender SafePay (CVE-2019-6737)
Fecha de publicación:
03/06/2019
Idioma:
Español
Esta vulnerabilidad permite a los atacantes remotos ejecutar código arbitrario en instalaciones vulnerables de Bitdefender SafePay versión 23.0.10.34. La interacción del usuario es necesaria para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. Este error en concreto existe en el procesamiento de TIScript. El problema radica en el manejo del método openFile, que permite una escritura de archivo arbitraria con datos controlados por el atacante. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-7247
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2022

Vulnerabilidad en IceWarp Mail Server (CVE-2019-12593)
Fecha de publicación:
03/06/2019
Idioma:
Español
En IceWarp Mail Server hasta la versión 10.4.4 un salto de directorio permite una vulnerabilidad de inclusión de archivos locales mediante webmail / calendar / minimizer / index.php? Style = ..% 5c
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2019

Vulnerabilidad en Django (CVE-2019-12308)
Fecha de publicación:
03/06/2019
Idioma:
Español
Se descubrió un problema en Django 1.11 antes de 1.11.21, 2.1 anterior de la versión 2.1.9 y 2.2 anterior de la versión 2.2.2. El valor de la URL actual en la que se puede hacer clic, mostrado por el AdminURLFieldWidget, muestra el valor proporcionado sin validarlo como una URL segura. Por lo tanto, un valor no validado almacenado en la base de datos, o un valor proporcionado como una carga útil del parámetro de consulta de URL, podría resultar en un enlace de JavaScript que se puede hacer clic.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Micro Focus Service Manager (CVE-2019-11646)
Fecha de publicación:
03/06/2019
Idioma:
Español
Ejecución remota de comandos no autorizados y divulgación no autorizada de información en Micro Focus Service Manager, versiones 9.30, 9.31, 9.32, 9.33, 9.34, 9.35, 9.40, 9.41, 9.50, 9.51, 9.52, 9.60, 9.61. Esta vulnerabilidad podría permitir la ejecución remota de comandos no autorizados y la divulgación no autorizada de información.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Atlassian Bitbucket Data Center (CVE-2019-3397)
Fecha de publicación:
03/06/2019
Idioma:
Español
Atlassian Bitbucket Data Center con licencias que comienzan con la versión 5.13.0 anterior a la 5.13.6 (la versión fija para 5.13.x), desde la versión 5.14.0 anterior a la 5.14.4 (versión fija para la 5.14.x), desde la versión 5.15.0 hasta la 5.15. 3 (versión fija para 5.15.x), de versión 5.16.0 anterior a 5.16.3 (versión fija de 5.16.x), desde versión 6.0.0 anterior a 6.0.3 (versión fija para 6.0.x), y desde versión 6.1.0 anterior a 6.1.2 (la versión fija para 6.1.x), permite a los atacanterior remotos con permisos de administrador lograr la ejecución de código remota en una instancia del servidor Bitbucket por medio de un salto de path (path trasversal) de la herramienta de migración del Centro de Datos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/06/2019

Vulnerabilidad en Atlassian Crowd and Crowd Data Center (CVE-2019-11580)
Fecha de publicación:
03/06/2019
Idioma:
Español
Atlassian Crowd and Crowd Data Center tenía el complemento de desarrollo pdkinstall habilitado incorrectamente en las versiones de lanzamiento. Los atacantes que pueden enviar solicitudes no Identificadas o identificadas a una instancia de Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, que permiten la ejecución remota de código en sistemas que ejecutan una versión vulnerable de Crowd o Crowd Data Center. Todas las versiones de Crowd desde la versión 2.1.0 antes de 3.0.5 (la versión fija para 3.0.x), desde la versión 3.1.0 antes de 3.1.6 (la versión fija para 3.1.x), desde la versión 3.2.0 antes de 3.2. 8 (la versión fija para 3.2.x), desde la versión 3.3.0 antes de 3.3.5 (la versión fija para 3.3.x), y desde la versión 3.4.0 antes de 3.4.4 (la versión fija para 3.4.x) son afectados por esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/10/2025

Vulnerabilidad en Spring Data JPA (CVE-2019-3802)
Fecha de publicación:
03/06/2019
Idioma:
Español
Esto afecta a Spring Data JPA en versiones hasta 2.1.6, 2.0.14 y 1.11.20 inclusive. ExampleMatcher utilizando ExampleMatcher.StringMatcher.STARTING, ExampleMatcher.StringMatcher.ENDING o ExampleMatcher.StringMatcher.CONTAINING puede devolver más resultados de los anticipados cuando se proporciona un valor de ejemplo maliciosamente manipulado .
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/10/2021
Suscribirse a Vulnerabilidades