Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la instalación de paquetes en binarios existentes instalados globalmente en la CLI npm (CVE-2019-16777)
Fecha de publicación:
13/12/2019
Idioma:
Español
Las versiones de la CLI npm anteriores a 6.13.4 son vulnerables a una Sobrescritura de Archivos Arbitrarios. No puede impedir que los binarios existentes instalados globalmente sean sobrescritos por otras instalaciones de paquete. Por ejemplo, si un paquete fue instalado globalmente y creó un binario de servicio, cualquier instalación posterior de paquetes que también crea un binario de servicio sobrescribirá el binario de servicio anterior. Este comportamiento todavía es permitido en instalaciones locales y también por medio de scripts de instalación. Esta vulnerabilidad omite a un usuario que usa la opción de instalación --ignore-scripts.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en npm CLI (CVE-2019-16775)
Fecha de publicación:
13/12/2019
Idioma:
Español
Las versiones del npm CLI en versiones anteriores a la 6.13.3 son vulnerables a una escritura de archivo arbitraria. Es posible que los paquetes creen enlaces simbólicos a archivos fuera de la carpeta thenode_modules a través del campo bin al momento de la instalación. Una entrada construida correctamente en el campo bin de package.json permitiría a un editor de paquetes crear un enlace simbólico que apunte a archivos arbitrarios en el sistema de un usuario cuando se instala el paquete. Este comportamiento todavía es posible mediante los scripts de instalación. Esta vulnerabilidad evita que un usuario utilice la opción de instalación --ignore-scripts.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en npm CLI (CVE-2019-16776)
Fecha de publicación:
13/12/2019
Idioma:
Español
Las versiones del npm CLI en versiones anteriores a la 6.13.3 son vulnerables a una escritura de archivo arbitraria. No puede evitar el acceso a las carpetas fuera de la carpeta node_modules prevista a través del campo bin. Una entrada construida correctamente en el campo bin de package.json permitiría al editor del paquete modificar y/o acceder a archivos arbitrarios en el sistema de un usuario cuando el paquete esté instalado. Este comportamiento aún es posible mediante scripts de instalación. Esta vulnerabilidad evita que un usuario utilice la opción de instalación --ignore-scripts.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el controlador de cookies en phpfastcach (CVE-2019-16774)
Fecha de publicación:
12/12/2019
Idioma:
Español
En phpfastcache versiones anteriores a 5.1.3, se presenta una posible vulnerabilidad de inyección de objetos en el controlador de cookies.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/10/2020

Vulnerabilidad en un mensaje diseñado en Apache SpamAssassin (CVE-2019-12420)
Fecha de publicación:
12/12/2019
Idioma:
Español
En Apache SpamAssassin versiones anteriores a 3.4.3, un mensaje puede ser diseñado de una forma que use recursos excesivos. La actualización recomendada a SA versión 3.4.3 lo antes posible es la solución recomendada, pero los detalles no serán compartidos públicamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en archivos CF en Apache SpamAssassin (CVE-2018-11805)
Fecha de publicación:
12/12/2019
Idioma:
Español
En Apache SpamAssassin versiones anteriores a 3.4.3, se pueden configurar archivos CF nefastos para ejecutar comandos de sistema sin ningún resultado o error. Con esto, las explotaciones pueden ser inyectadas en varios escenarios. Adicionalmente para actualizar a SA versión 3.4.3, recomendamos que los usuarios solo utilicen canales de actualización o archivos .cf de terceros desde lugares confiables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la función derive_taps_and_gains en kdu_v7ar.dl (CVE-2019-5144)
Fecha de publicación:
12/12/2019
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de montón explotable en la función derive_taps_and_gains en kdu_v7ar.dll de Kakadu Software SDK 7.10.2. Un archivo jp2 especialmente diseñado puede causar un desbordamiento del montón, lo que puede provocar la ejecución remota de código. Un atacante podría proporcionar un archivo con formato incorrecto a la víctima para desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2022

Vulnerabilidad en la activación AP para envío de actualizaciones de ubicación IAPP en hostapd (CVE-2019-5061)
Fecha de publicación:
12/12/2019
Idioma:
Español
Se presenta una vulnerabilidad de denegación de servicio explotable en el hostapd versión 2.6, donde un atacante podría activar AP para enviar actualizaciones de ubicación IAPP para las estaciones, antes de que el proceso de autenticación requerido se complete . Esto podría conllevar a diferentes escenarios de denegación de servicio, ya sea causando ataques a la tabla CAM o conllevando un aleteo de tráfico si falsifica clientes existentes en otros Aps cercanos de la misma infraestructura inalámbrica. Un atacante puede falsificar paquetes de petición de Autenticación y Asociación para activar esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2022

Vulnerabilidad en el manejo del estado de seguridad 802.11w para clientes conectados a hostapd (CVE-2019-5062)
Fecha de publicación:
12/12/2019
Idioma:
Español
Se presenta una vulnerabilidad de denegación de servicio explotable en el manejo del estado de seguridad 802.11w para clientes conectados a hostapd versión 2.6 con sesiones válidas de 802.11w. Simulando una nueva asociación incompleta, un atacante puede desencadenar una desautenticación contra estaciones que usan 802.11w, resultando en una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2022

Vulnerabilidad en mensajes RPC IOCTL 70533 en.Advantech WebAccess (CVE-2019-3951)
Fecha de publicación:
12/12/2019
Idioma:
Español
Advantech WebAccess versiones anteriores a 8.4.3, permite a atacantes remotos no autenticados ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria) debido a un desbordamiento del búfer en la región stack de la memoria al manejar mensajes IOCTL 70533 RPC.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2019

Vulnerabilidad en los archivos fs/ext4/inode.c y fs/ext4/super.c en las funciones __ext4_expand_extra_isize y ext4_xattr_set_entry en kernel de Linux (CVE-2019-19767)
Fecha de publicación:
12/12/2019
Idioma:
Español
El kernel de Linux versión anterior a 5.4.2 maneja inapropiadamente la función ext4_expand_extra_isize, como es demostrado por un error de uso de la memoria previamente liberada en las funciones __ext4_expand_extra_isize y ext4_xattr_set_entry, relacionadas con los archivos fs/ext4/inode.c y fs/ext4/super.c, también se conoce como CID-4ea99936a163.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2020

Vulnerabilidad en el archivo fs/debugfs/inode.c en la función debugfs_remove el kernel de Linux (CVE-2019-19770)
Fecha de publicación:
12/12/2019
Idioma:
Español
** EN DISPUTA ** En el kernel de Linux versión 4.19.83, presenta un uso de la memoria previamente liberada en la función debugfs_remove en el archivo fs/debugfs/inode.c (que se usa para eliminar un archivo o directorio en debugfs que se creó previamente con una llamada a otra función debugfs como debugfs_create_file). NOTA: Los desarrolladores del kernel de Linux disputan este problema como no un problema con debugfs, sino que es un problema con el mal uso de debugfs dentro de blktrace.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2024
Suscribirse a Vulnerabilidades