Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Netdata (CVE-2018-18837)
Fecha de publicación:
18/06/2019
Idioma:
Español
Un problema fue descubierto en Netdata 1.10.0. La Inyección de encabezado HTTP existe a través del parámetro api / v1 / nombre de archivo de datos debido a web_client_api_request_v1_data en web / api / web_api_v1.c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/06/2019

Vulnerabilidad en Netdata (CVE-2018-18836)
Fecha de publicación:
18/06/2019
Idioma:
Español
Un problema fue descubierto en Netdata 1.10.0. La inyección JSON existe a través del parámetro api / v1 / data tqx debido a web_client_api_request_v1_data en web / api / web_api_v1.c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en Netdata (CVE-2018-18838)
Fecha de publicación:
18/06/2019
Idioma:
Español
Un problema fue descubierto en Netdata 1.10.0. La inyección de registro (o la falsificación de registro) existe a través de una secuencia% 0a en el parámetro url para api / v1 / registry.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en IBM Cloud Private (CVE-2019-4142)
Fecha de publicación:
18/06/2019
Idioma:
Español
IBM Cloud Private 2.1.0, 3.1.0, 3.1.1 y 3.1.2 es vulnerable a la falsificación de solicitudes entre sitios, lo que podría permitir que un atacante ejecute acciones malintencionadas y no autorizadas transmitidas por un usuario en las que el sitio web confía. ID de IBM X-Force: 158338.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2023

Vulnerabilidad en firmware (CVE-2018-18875)
Fecha de publicación:
18/06/2019
Idioma:
Español
En la versión de firmware MS_2.6.9900 de Columbia Weather MicroServer, una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) permite a los usuarios identificados de forma remota inyectar secuencias de comandos web arbitrarias a través de changestationname.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2019

Vulnerabilidad en firmware MS_2.6.9900 (CVE-2018-18878)
Fecha de publicación:
18/06/2019
Idioma:
Español
En la versión de firmware MS_2.6.9900 de Columbia Weather MicroServer, el daemon BACnet no valida correctamente la entrada, lo que podría permitir que un atacante remoto envíe paquetes especialmente diseñados para que el dispositivo no esté disponible.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/06/2019

Vulnerabilidad en firmware MS_2.6.9900 (CVE-2018-18877)
Fecha de publicación:
18/06/2019
Idioma:
Español
En la versión de firmware MS_2.6.9900 de Columbia Weather MicroServer, un usuario web identificado puede acceder a una página de configuración alternativa config_main.php que permite la manipulación del dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/06/2019

Vulnerabilidad en firmware (CVE-2018-18876)
Fecha de publicación:
18/06/2019
Idioma:
Español
En la versión de firmware MS_2.6.9900 de Columbia Weather MicroServer, un problema de recorrido del directorio readouts_rd.php permite leer cualquier archivo presente en el sistema operativo subyacente..
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2019

Vulnerabilidad en Los dispositivos Cerio DT-300N (CVE-2018-18852)
Fecha de publicación:
18/06/2019
Idioma:
Español
Los dispositivos Cerio DT-300N 1.1.6 a 1.1.12 permiten la inyección de comandos del sistema operativo debido a una validación incorrecta de la entrada del uso de la función PING de la interfaz web de Save.cgi para ejecutar un comando ping, como se explotó en la naturaleza en octubre de 2018.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/06/2019

Vulnerabilidad en la aplicación exacqVision Enterprise System Manager (CVE-2019-7588)
Fecha de publicación:
18/06/2019
Idioma:
Español
Una vulnerabilidad en la aplicación exacqVision Enterprise System Manager (ESM) v5.12.2 por la cual se puede lograr una escalada de privilegios no autorizada. Esta vulnerabilidad afecta a exacqVision ESM v5.12.2 y a todas las versiones anteriores de ESM que se ejecutan en un sistema operativo Windows. Este problema no afecta a los sistemas operativos de Windows Server ni a las implementaciones de Linux con permisos que no se heredan del directorio raíz. Los usuarios autorizados tienen permiso para "modificar" las carpetas de ESM, lo que permite que una cuenta con pocos privilegios modifique los archivos ubicados en estos directorios. Se puede cambiar el nombre de un ejecutable y reemplazarlo por un archivo malicioso que podría conectarse de nuevo a un actor malo que proporcione privilegios a nivel de sistema. Un usuario con pocos privilegios no puede reiniciar el servicio, pero un reinicio del sistema desencadenaría la ejecución del archivo malicioso. Este problema afecta a: Exacq Technologies, Inc. exacqVision Enterprise System Manager (ESM) Versión 5.12.2 y versiones anteriores; Este problema no afecta: Exacq Technologies, Inc. exacqVision Enterprise System Manager (ESM) 19.03 y superior.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en Helpy (CVE-2018-18886)
Fecha de publicación:
18/06/2019
Idioma:
Español
Helpy en la versión v2.1.0 ha almacenado Cross-Site Scripting (XSS) mediante el título de ticket.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2021

Vulnerabilidad en dotCMS (CVE-2019-12872)
Fecha de publicación:
18/06/2019
Idioma:
Español
dotCMS anterior de 5.1.6 es vulnerable a una inyección de SQL que puede ser aprovechada por un atacante del publicador de roles a través de view_unpushed_bundles.jsp.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/06/2019
Suscribirse a Vulnerabilidades