Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en XiaoCms (CVE-2018-19194)
Fecha de publicación:
12/11/2018
Idioma:
Español
Se ha descubierto un problema en XiaoCms 20141229. /admin/index.php?c=database permite que se revelen rutas completas en un mensaje de error "failed to open stream".
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2018

Vulnerabilidad en XiaoCms (CVE-2018-19195)
Fecha de publicación:
12/11/2018
Idioma:
Español
Se ha descubierto un problema en XiaoCms 20141229. Hay Cross-Site Scripting (XSS) relacionado con el archivo template\default\show_product.html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2018

Vulnerabilidad en XiaoCms (CVE-2018-19196)
Fecha de publicación:
12/11/2018
Idioma:
Español
Se ha descubierto un problema en XiaoCms 20141229. Permite a los atacantes remotos ejecutar código arbitrario utilizando el parámetro type para omitir las restricciones estándar en admin\controller\uploadfile.php sobre los tipos de archivos subidos (jpg, jpeg, bmp, png, gif), tal y como queda demostrado con la URI admin/index.php?c=uploadfilea=uploadify_uploadtype=php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/12/2018

Vulnerabilidad en XiaoCms (CVE-2018-19193)
Fecha de publicación:
12/11/2018
Idioma:
Español
Se ha descubierto un problema en XiaoCms 20141229. Hay Cross-Site Scripting (XSS) mediante el cuadro de entrada más grande en la pantalla "New news".
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2018

Vulnerabilidad en XiaoCms (CVE-2018-19192)
Fecha de publicación:
12/11/2018
Idioma:
Español
Se ha descubierto un problema en XiaoCms 20141229. admin/index.php?c=contenta=addcatid=3, que tiene Cross-Site Request Forgery (CSRF), tal y como queda demostrado al introducir noticias mediante el parámetro data[content].
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2018

Vulnerabilidad en libIEC61850 (CVE-2018-19185)
Fecha de publicación:
12/11/2018
Idioma:
Español
Se ha detectado un problema en libIEC61850 v1.3. Es un desbordamiento de búfer basado en memoria dinámica (heap) en BerEncoder_encodeOctetString en mms/asn1/ber_encoder.c. Esto es explotable incluso después de que se haya parcheado CVE-2018-18834, con una secuencia dataSetValue diferente a la del vector de ataque CVE-2018-18834.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020

Vulnerabilidad en Py-EVM (CVE-2018-18920)
Fecha de publicación:
12/11/2018
Idioma:
Español
Py-EVM v0.2.0-alpha.33 permite a los atacantes hacer una llamada vm.execute_bytecode que desencadena computation._stack.values con '"stack": 100, 100, 0]' donde se esperaba b'\x', resultando en un fallo de ejecución debido a un opcode no válido. Esto se relaciona con "smart contracts can be executed indefinitely without gas being paid".
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2019

Vulnerabilidad en Go Ethereum (CVE-2018-19184)
Fecha de publicación:
12/11/2018
Idioma:
Español
cmd/evm/runner.go en Go Ethereum (alias geth) 1.8.17 permite a los atacantes provocar una denegación de servicio (SEGV) mediante un código de bytes manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2018

Vulnerabilidad en ethereumjs-vm (CVE-2018-19183)
Fecha de publicación:
12/11/2018
Idioma:
Español
ethereumjs-vm 2.4.0 permite a los atacantes provocar una denegación de servicio (fallo vm.runCode failure y REVERT) a través de un atributo "code":Buffer.from(my_code, 'hex')".
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2024

Vulnerabilidad en YUNUCMS (CVE-2018-19181)
Fecha de publicación:
11/11/2018
Idioma:
Español
statics/ueditor/php/vendedor/Local.class.php en YUNUCMS 1.1.5 permite la eliminación arbitraria de archivos a través del parámetro key en statics/ueditor/php/controller.php?action=remove, tal y como queda demostrado al usar un salto de directorio para eliminar el archivo install.lock.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/12/2018

Vulnerabilidad en YUNUCMS (CVE-2018-19180)
Fecha de publicación:
11/11/2018
Idioma:
Español
statics/app/index/controller/Install.php en YUNUCMS 1.1.5 (si install.lock no está presente) permite a los atacantes remotos ejecutar código PHP arbitrario colocando este código en el campo DB_PREFIX en index.php?s=index/install/setup2, que se escribe en database.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/12/2018

Vulnerabilidad en JEESNS (CVE-2018-19178)
Fecha de publicación:
11/11/2018
Idioma:
Español
En JEESNS 1.3, com/lxinet/jeesns/core/utils/XssHttpServletRequestWrapper.java permite Cross-Site Scripting (XSS) persistente a través de un elemento HTML EMBED. Esta es una vulnerabilidad diferente a CVE-2018-17886.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2018
Suscribirse a Vulnerabilidades