Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un nombre de usuario en Bytemark Symbiosis (CVE-2014-3979)
Fecha de publicación:
27/01/2020
Idioma:
Español
Bytemark Symbiosis, permite a atacantes remotos causar una denegación de servicio por medio de un nombre de usuario diseñado, lo que activa al firewall para colocar la IP en la lista negra.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2020

Vulnerabilidad en un archivo con una extensión jsp en la función AgentLogUploadServlet en ManageEngine DesktopCentral (CVE-2013-7390)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de carga de archivos sin restricciones en la función AgentLogUploadServlet en ManageEngine DesktopCentral versiones 7.x y 8.0.0 anterior al build 80293, permite a atacantes remotos ejecutar código arbitrario mediante la carga de un archivo con una extensión jsp y luego acceder a él mediante una petición directa al archivo en la root web.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/02/2020

Vulnerabilidad en vectores no especificados en Eucalyptus Management Console (EMC) (CVE-2013-4770)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en Eucalyptus Management Console (EMC) versiones 4.0.x anteriores a 4.0.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2020

Vulnerabilidad en /opt/sgi/sgimc/bin/vx en SGI Tempo usado en los sistemas SGI ICE-X (CVE-2014-7302)
Fecha de publicación:
27/01/2020
Idioma:
Español
SGI Tempo, como es usado en los sistemas SGI ICE-X, usa permisos débiles para determinados archivos, lo que permite a usuarios locales cambiar los permisos de archivos arbitrarios mediante la ejecución de /opt/sgi/sgimc/bin/vx.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2020

Vulnerabilidad en /etc/odapw en el hash de contraseña en SGI Tempo usado en los sistemas SGI ICE-X (CVE-2014-7301)
Fecha de publicación:
27/01/2020
Idioma:
Español
SGI Tempo, como es usado en los sistemas SGI ICE-X, utiliza permisos débiles para determinados archivos, lo que permite a usuarios locales obtener valores de hash de contraseñas y posiblemente otra información confidencial no especificada mediante la lectura de /etc/odapw.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2020

Vulnerabilidad en una llamada de función en un servidor de juegos en la biblioteca meshsystem.dll en Valve Dota 2 (CVE-2020-7950)
Fecha de publicación:
27/01/2020
Idioma:
Español
La biblioteca meshsystem.dll en Valve Dota 2 versiones anteriores a 7.23f, permite a atacantes remotos alcanzar una ejecución de código o una denegación de servicio mediante la creación de un servidor de juegos e invitando a una víctima a este servidor, porque un mapa diseñado se maneja inapropiadamente durante una llamada de función vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2020

Vulnerabilidad en una llamada GetValue en un servidor de juegos en la biblioteca schemasystem.dll en Valve Dota 2 (CVE-2020-7949)
Fecha de publicación:
27/01/2020
Idioma:
Español
La biblioteca schemasystem.dll en Valve Dota 2 versiones anteriores a 7.23f, permite a atacantes remotos alcanzar una ejecución de código o una denegación de servicio mediante la creación de un servidor de juegos e invitando a una víctima a este servidor, porque un mapa diseñado se maneja inapropiadamente durante una llamada GetValue.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2020

Vulnerabilidad en la función "get_image_url()" en la etapa de arranque de Bitdefender BOX 2 (CVE-2019-17096)
Fecha de publicación:
27/01/2020
Idioma:
Español
Una vulnerabilidad de Inyección de Comandos de Sistema Operativo en la etapa de arranque de Bitdefender BOX 2, permite la manipulación de la función "get_image_url()" en circunstancias especiales para inyectar un comando de sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/01/2020

Vulnerabilidad en el texto CAPTCHA en un POST {"topicurl":"setting/getSanvas"} en el URI boafrm/formLogin en determinados enrutadores basados ??en SDK TOTOLINK Realtek (CVE-2019-19825)
Fecha de publicación:
27/01/2020
Idioma:
Español
En determinados enrutadores basados ??en SDK TOTOLINK Realtek, el texto CAPTCHA puede ser recuperado mediante un POST {"topicurl":"setting/getSanvas"} en el URI boafrm/formLogin, conllevando a una omisión de CAPTCHA. (Además, el texto de CAPTCHA no es necesario una vez que el atacante ha determinado unas credenciales válidas. El atacante puede realizar acciones de enrutador por medio de peticiones HTTP con autenticación básica). Esto afecta a A3002RU versiones hasta 2.0.0, A702R versiones hasta 2.1.3, N301RT versiones hasta 2.1.6 , N302R versiones hasta 3.4.0, N300RT versiones hasta 3.4.0, N200RE versiones hasta 4.0.0, N150RT versiones hasta 3.4.0 y N100RE versiones hasta 3.4.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/02/2020

Vulnerabilidad en peticiones HTTP en el espacio en blanco de Transfer-Encoding y un encabezado Content-Length en Netty (CVE-2020-7238)
Fecha de publicación:
27/01/2020
Idioma:
Español
Netty versión 4.1.43.Final, permite el tráfico no autorizado de peticiones HTTP porque maneja inapropiadamente el espacio en blanco de Transfer-Encoding (tal y como una línea [space]Transfer-Encoding:chunked) y un encabezado Content-Length posterior. Este problema existe debido a una corrección incompleta para el CVE-2019-16869.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un servidor de juegos en la biblioteca rendersystemdx9.dll en Valve Dota 2 (CVE-2020-7952)
Fecha de publicación:
27/01/2020
Idioma:
Español
La biblioteca rendersystemdx9.dll en Valve Dota 2 versiones anteriores a 7.23f, permite a atacantes remotos alcanzar una ejecución de código o una denegación de servicio mediante la creación de un servidor de juegos e invitando a una víctima a este servidor, porque un mapa diseñado está afectado por una corrupción de la memoria.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2020

Vulnerabilidad en un servidor de juegos en la biblioteca meshsystem.dll en Valve Dota 2 (CVE-2020-7951)
Fecha de publicación:
27/01/2020
Idioma:
Español
La biblioteca meshsystem.dll en Valve Dota 2 versiones anteriores a 7.23e, permite a atacantes remotos alcanzar una ejecución de código o una denegación de servicio mediante la creación de un servidor de juegos e invitando a una víctima a este servidor, porque un mapa diseñado está afectado por una corrupción de la memoria.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades