Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en cifrado de registros en los dispositivos DASAN H660RM (CVE-2019-9975)
Fecha de publicación:
11/04/2019
Idioma:
Español
Los dispositivos DASAN H660RM con firmware versión 1.03-0022, usan una clave codificada para el cifrado de registros. Los datos almacenados con esta clave pueden ser descifrados por cualquier persona que pueda acceder a esta clave.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2019

Vulnerabilidad en SilverStripe 3 y SilverStripe 4 (CVE-2019-5715)
Fecha de publicación:
11/04/2019
Idioma:
Español
SilverStripe 3 todas las versiones anteriores a 3.6.7 y 3.7.3, y SilverStripe 4 todas las versiones anteriores a 4.0.7, 4.1.5, 4.2.4 y 4.3.1 permiten la inyección SQL reflejada por medio de los componentes Form y DataObject.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/04/2019

Vulnerabilidad en Zarafa Webapp (CVE-2019-7219)
Fecha de publicación:
11/04/2019
Idioma:
Español
Reflected Cross-Site Scripting (XSS) no autenticados se presenta en Zarafa Webapp versión 2.0.1.47791 y anteriores. NOTA: este es un producto descontinuado. El problema se solucionó en versiones posteriores de Zarafa Webapp; sin embargo, algunos antiguos clientes de Zarafa Webapp usan el producto Kopano relacionado en su lugar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/04/2019

Vulnerabilidad en JFrog Artifactory (CVE-2019-9733)
Fecha de publicación:
11/04/2019
Idioma:
Español
Existe un problema en JFrog Artifactory versión 6.7.3. Por defecto, la cuenta de administrador de acceso es usada para restablecer la contraseña de la cuenta de administrador en caso de que un administrador se bloquee de la consola de Artifactory. Esto solo es posible desde una conexión directamente del host local, pero al proporcionar un encabezado HTTP para X-Forwarded-For para la petición, permite que un usuario no autenticado inicie sesión con las credenciales predeterminadas de la cuenta de administrador de acceso y omita la lista blanca de direcciones IP permitidas. La cuenta de administrador de acceso puede usar la API de Artifactory para solicitar tokens de autenticación para todos los usuarios, incluyendo la cuenta de administrador y, a la vez, asumir el control total de todos los artefactos y repositorios administrados por Artifactory.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en archivo diag_tool.cgi del componente ping en los routers GPON DASAN H660RM (CVE-2019-9974)
Fecha de publicación:
11/04/2019
Idioma:
Español
El archivo diag_tool.cgi en los routers GPON DASAN H660RM con firmware versión 1.03-0022, carece de comprobación de autorización, lo que permite a los atacantes remotos ejecutar un comando ping por medio de una petición GET para enumerar dispositivos LAN o bloquear el enrutador con un ataque de tipo DoS.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en configuración del servidor Boa en el archivo /tmp/boa-temp en dispositivos DASAN H660RM (CVE-2019-9976)
Fecha de publicación:
11/04/2019
Idioma:
Español
La configuración del servidor Boa en dispositivos DASAN H660RM con firmware versión 1.03-0022, registra datos POST en el archivo /tmp/boa-temp, que permite a los usuarios registrados leer las credenciales de los usuarios de la interfaz web de administración.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en los dispositivos de recopilación de información médica Capsule Technologies SmartLinx Neuron 2 (CVE-2019-5024)
Fecha de publicación:
11/04/2019
Idioma:
Español
Existe una vulnerabilidad de escape de entorno restringido en la función "kiosk mode" de los dispositivos de recopilación de información médica Capsule Technologies SmartLinx Neuron 2 que ejecutan las versiones 9.0.3 o inferiores. Una serie específica de entradas de teclado puede escapar del entorno restringido, resultando en un acceso total de administrador al sistema operativo subyacente. Un atacante puede conectarse al dispositivo a través del puerto USB con un teclado u otro dispositivo HID para activar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/06/2022

Vulnerabilidad en las versiones BIG-IP (CVE-2019-6610)
Fecha de publicación:
11/04/2019
Idioma:
Español
En las versiones BIG-IP 14.0.0-14.0.0.4, 13.0.0-13.1.1.1, 12.1.0- 12.1.4,versión 11.6.0-versión 11.6.3.4 y versión 11.5.1- versión 11.5.8, el sistema es vulnerable a un ataque de Denegación de Servicio (DoS) al realizar la clasificación de URL.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en NVIDIA Jetson (CVE-2019-5672)
Fecha de publicación:
11/04/2019
Idioma:
Español
NVIDIA Jetson TX1 y TX2 contienen una vulnerabilidad en el sistema operativo Linux para Tegra (L4T) (en todas las versiones anteriores a R28.3) donde las claves de Secure Shell (SSH) proporcionadas en el rootfs de muestra no son reemplazadas por claves de host únicas, después de la generación de muestras rootsfs y flashing, que pueden llevar a la divulgación de información.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/04/2019

Vulnerabilidad en NVIDIA Jetson TX2 (CVE-2019-5673)
Fecha de publicación:
11/04/2019
Idioma:
Español
NVIDIA Jetson versión TX2 contiene una vulnerabilidad en el controlador del kernel (en todas las versiones anteriores a R28.3) donde la ARM System Memory Management Unit (SMMU) verifica de manera inapropiada una condición de error, lo que hace que las transacciones se descarten, lo que puede provocar la denegación del servicio (DoS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/04/2019

Vulnerabilidad en UiPath Orchestrator (CVE-2018-17305)
Fecha de publicación:
11/04/2019
Idioma:
Español
UiPath Orchestrator hasta el 4-2-2018, permite a cualquier usuario autenticado cambiar la información de usuarios arbitrarios (inclusive administradores), lo que conlleva a una escalada de privilegios y a la ejecución de código remota.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en el kernel de Linux (CVE-2019-3459)
Fecha de publicación:
11/04/2019
Idioma:
Español
Se descubrió una fuga de información de direcciones en memoria dinámica mientras se usaba L2CAP_GET_CONF_OPT en el kernel de Linux anterior a 5.1-rc1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades