Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en admin/index.php en Metinfo 5.3.18 (CVE-2017-12788)
Fecha de publicación:
09/05/2019
Idioma:
Español
Múltiples vulnerabilidades de cross-site scripting (XSS) en admin/index.php en Metinfo 5.3.18 permite a los atacantes remotos inyectar secuencias de comandos web arbitrarias o HTML a través del parámetro (1) class1 o (2) anyid.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/05/2019

Vulnerabilidad en HAProxy (CVE-2019-11323)
Fecha de publicación:
09/05/2019
Idioma:
Español
HAProxy versión anterior a 1.9.7, maneja de forma incorrecta una recarga con teclas giradas, lo que desencadena el uso de las teclas HMAC sin inicializar y muy predecibles. Esto está relacionado con un fallo del archivo include/types/ssl_sock.h.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en njs hasta la versión 0.3.1 (CVE-2019-11837)
Fecha de publicación:
09/05/2019
Idioma:
Español
njs hasta la versión 0.3.1, usado en NGINX, tiene un fallo de segmentación en String.prototype.toBytes para argumentos negativos, relacionado con nxt_utf8_next en nxt/nxt_utf8.h y njs_string_offset en njs/njs_string.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2022

Vulnerabilidad en njs hasta la versión 0.3.1, usado en NGINX (CVE-2019-11838)
Fecha de publicación:
09/05/2019
Idioma:
Español
njs hasta la versión 0.3.1, usado en NGINX, tiene un desbordamiento de búfer basado en memoria dinámica (heap) en Array.prototype.splice después de un cambio de tamaño, relacionado con njs_array_prototype_splice en njs/njs_array.c, debido al mal manejo del tamaño de njs_array_expand.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/03/2022

Vulnerabilidad en NJS (CVE-2019-11839)
Fecha de publicación:
09/05/2019
Idioma:
Español
NJS hasta la versión 0.3.1, usado en NGINX, tiene un desbordamiento de búfer en la región stack de la memoria en Array.prototype.push después de un cambio de tamaño, relacionado con njs_array_prototype_push in njs/njs_array.c, debido a un mal manejo de tamaño de njs_array_expand.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/03/2022

Vulnerabilidad en Apache Karaf (CVE-2019-0226)
Fecha de publicación:
09/05/2019
Idioma:
Español
En el servicio Apache Karaf Config proporciona un método de instalación (por medio de service o MBean) que se podría usar para viajar en cualquier directorio y sobrescribir el archivo se presentante. La vulnerabilidad es baja si el usuario del proceso Karaf tiene un permiso limitado en el sistema de archivos. Cualquier versión de Apache Karaf anterior a 4.2.5 es afectada. El usuario debe actualizar Apache Karaf versión 4.2.5 o posterior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el router EnGenius EWS660AP con firmware (CVE-2019-11353)
Fecha de publicación:
09/05/2019
Idioma:
Español
El router EnGenius EWS660AP con firmware versión 2.0.284, que permite que un atacante ejecute comandos arbitrarios utilizando las utilidades ping y traceroute incorporadas al usar diferentes cargas e inyectar múltiples parámetros. Esta vulnerabilidad se corrige en la siguiente versión de firmware.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en LibreOffice en En Windows y macOS (CVE-2019-9847)
Fecha de publicación:
09/05/2019
Idioma:
Español
Una vulnerabilidad en el procesamiento de hipervínculos de LibreOffice permite a un atacante construir documentos que contengan hipervínculos que apunten a la ubicación de un ejecutable en el sistema de archivos de los usuarios victimas. Si la víctima activa el hipervínculo, el objetivo ejecutable se inicia incondicionalmente. En Windows y macOS, al procesar un objetivo de hipervínculo activado explícitamente por el usuario, no se emitió un juicio sobre si el objetivo era un archivo ejecutable, por lo que dichos objetivos ejecutables fueron iniciados incondicionalmente. Este problema afecta: todas las versiones de Windows y macOS de LibreOffice versiones anteriores a 6.1.6; LibreOffice versiones de Windows y macOS en la serie 6.2 anterior a 6.2.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2021

Vulnerabilidad en aplicación Rediffmail (CVE-2019-11836)
Fecha de publicación:
09/05/2019
Idioma:
Español
La aplicación Rediffmail (también conocida como com.rediff.mail.and), versión 2.2.6 para Android, tiene contenido de correo de texto en claro en el almacenamiento de archivos, que persiste después de cerrar la sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en Synology Calendar (CVE-2019-11820)
Fecha de publicación:
09/05/2019
Idioma:
Español
La exposición a la información a través de la vulnerabilidad del entorno de procesos en Synology Calendar, versiones anteriores a 2.3.3-0620, permite a los usuarios locales obtener credenciales a través de cmdline.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2021

Vulnerabilidad en cJSON (CVE-2019-11834)
Fecha de publicación:
09/05/2019
Idioma:
Español
cJSON, versiones anteriores a 1.7.11, permite el acceso fuera de límites, relacionado con \x00 en un literal de cadena.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/07/2025

Vulnerabilidad en cJSON (CVE-2019-11835)
Fecha de publicación:
09/05/2019
Idioma:
Español
cJSON, versiones anteriores a 1.7.11, permite el acceso fuera de límites, relacionado con los comentarios multilínea.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/07/2025
Suscribirse a Vulnerabilidades