Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ice Qube Thermal Management Center (CVE-2017-16714)
Fecha de publicación:
06/09/2018
Idioma:
Español
En versiones anteriores a la 4.13 de Ice Qube Thermal Management Center, las contraseñas se almacenan en texto plano en un archivo accesible sin autenticación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en okular (CVE-2018-1000801)
Fecha de publicación:
06/09/2018
Idioma:
Español
okular en versiones 18.08 y anteriores contiene una vulnerabilidad de salto de directorio en la función "unpackDocumentArchive(...)" en "core/document.cpp" que puede resultar en la creación de archivos arbitrarios en la estación de trabajo del usuario. El ataque parece ser explotable si una víctima abre un archivo Okular especialmente manipulado. El problema parece haber sido solucionado en la versión 18.08.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2019

Vulnerabilidad en sympa (CVE-2018-1000671)
Fecha de publicación:
06/09/2018
Idioma:
Español
sympa en versiones 6.2.16 y posteriores contiene una vulnerabilidad de redirección por URL a un sitio no fiable (CWE-601) en el parámetro "referer" de la acción de inicio de sesión en wwsympa.fcgi. Esto puede resultar en una redirección abierta y Cross-Site Scripting (XSS) reflejado mediante URI de datos. El ataque parece ser explotable si el navegador de la víctima sigue una URL proporcionada por el atacante. La vulnerabilidad no parece haber sido solucionada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/11/2020

Vulnerabilidad en zephyr-rtos (CVE-2018-1000800)
Fecha de publicación:
06/09/2018
Idioma:
Español
zephyr-rtos 1.12.0 contiene una vulnerabilidad de desreferencia de puntero NULL en sys_ring_buf_put() y sys_ring_buf_get() que puede resultar en un fallo de página de CPU (código de error 0x00000010). El ataque parece ser explotable si una aplicación maliciosa llama a las API (sys_ring_buf_get() y sys_ring_buf_put del sistema) del kernel vulnerable.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/05/2020

Vulnerabilidad en GIG Technology NV JumpScale Portal (CVE-2018-1000666)
Fecha de publicación:
06/09/2018
Idioma:
Español
GIG Technology NV JumpScale Portal 7, en versiones anteriores al commit con ID 15443122ed2b1cbfd7bdefc048bf106f075becdb, contiene un CWE-78: neutralización incorrecta de elementos especiales empleado en una vulnerabilidad de inyección de comandos del sistema operativo ("OS Command Injection") en el método notifySpaceModification que puede resultar en la validación incorrecta de parámetros que resultan en la ejecución de comandos. Parece ser explotable mediante conectividad de red, requiriendo privilegios auth mínimos (cualquiera puede registrar una cuenta). La vulnerabilidad parece haber sido solucionada tras el commit con ID 15443122ed2b1cbfd7bdefc048bf106f075becdb.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Dojo Dojo Objective Harness (CVE-2018-1000665)
Fecha de publicación:
06/09/2018
Idioma:
Español
Dojo Dojo Objective Harness (DOH) en versiones anteriores a la 1.14 contiene una vulnerabilidad de Cross-Site Scripting (XSS) en unit.html, testsDOH/_base/loader/i18n-exhaustive/i18n-test/unit.html y testsDOH/_base/i18nExhaustive.js en el DOH que puede resultar en que la víctima atacada a través de su navegador extienda malware, robe cookies HTTP u omita la confianza de CORS. El ataque parece ser explotable de esta forma: las víctimas suelen ser atraídas a un sitio web bajo el control del atacante; la vulnerabilidad XSS en el dominio objetivo se explota sin que la víctima lo sepa. La vulnerabilidad parece haber sido solucionada en la versión 1.14.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2018

Vulnerabilidad en daneren2005 DSub para Subsonic (CVE-2018-1000664)
Fecha de publicación:
06/09/2018
Idioma:
Español
daneren2005 DSub para Subsonic (cliente de Android) en su versión 5.4.1 contiene una vulnerabilidad de validación incorrecta de certificados (CWE-295) en el cliente HTTPS que puede resultar en que cualquier certificado del servidor firmado por alguien que no es una CA, incluyendo aquellos autofirmados y expirados, sea aceptado por el cliente. El ataque parece ser explotable si la víctima se conecta a un servidor en el que un atacante tenga su proxy o esté en modo Man-in-the-Middle (MitM).
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2018

Vulnerabilidad en jsish (CVE-2018-1000668)
Fecha de publicación:
06/09/2018
Idioma:
Español
jsish 2.4.70 2.047 contiene una vulnerabilidad de lectura fuera de límites (CWE-125) en la función jsi_ObjArrayLookup (jsiObj.c:274) que puede resultar en un cierre inesperado debido a un fallo de segmentación. El ataque parece ser explotable si una víctima ejecuta código JavaScript manipulado. La vulnerabilidad parece haber sido solucionada en la versión 2.4.71.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2018

Vulnerabilidad en la función _jsi_evalcode en jsish (CVE-2018-1000663)
Fecha de publicación:
06/09/2018
Idioma:
Español
jsish 2.4.70 2.047 contiene una vulnerabilidad de desbordamiento de búfer en la función _jsi_evalcode (jsiEval.c) que puede resultar en un cierre inesperado debido a un fallo de segmentación. El ataque parece ser explotable si una víctima ejecuta código JavaScript manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2018

Vulnerabilidad en Jsi_LogMsg en jsish (CVE-2018-1000661)
Fecha de publicación:
06/09/2018
Idioma:
Español
jsish 2.4.67 contiene una vulnerabilidad de desreferencia de puntero NULL (CWE-476) en Jsi_LogMsg (jsiUtils.c:196) que puede resultar en un cierre inesperado debido a un fallo de segmentación. El ataque parece ser explotable si una víctima ejecuta código JavaScript especialmente manipulado. La vulnerabilidad parece haber sido solucionada en la versión 2.4.69.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2018

Vulnerabilidad en NASM (CVE-2018-1000667)
Fecha de publicación:
06/09/2018
Idioma:
Español
NASM nasm-2.13.03 nasm- 2.14rc15 en su versión 2.14rc15 y anteriores contiene una corrupción de memoria (cerrada inesperadamente) de nasm al manejar un archivo manipulado debido a una vulnerabilidad en la función assemble_file(inname, depend_ptr) en asm/nasm.c:482 que puede resultar en el cierre inesperado del programa nasm. Este ataque parece ser explotable mediante un archivo asm especialmente manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/07/2020

CVE-2011-0705
Fecha de publicación:
06/09/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades