Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Nanopool Claymore Dual Miner (CVE-2018-1000049)
Fecha de publicación:
09/02/2018
Idioma:
Español
Nanopool Claymore Dual Miner en versiones 7.3 y anteriores contiene una vulnerabilidad de ejecución remota de código abusando de la API miner. El error puede ser explotado solo si el software se ejecuta con el modo read/write habilitado.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2020

Vulnerabilidad en fmtlib (CVE-2018-1000052)
Fecha de publicación:
09/02/2018
Idioma:
Español
fmtlib, en versiones anteriores a la 4.1.0 (antes del commit con ID 0555cea5fc0bf890afe0071a558e44625a34ba85), contiene una vulnerabilidad CWE-134 de corrupción de memoria (SIGSEGV) en la función de biblioteca fmt::print() que puede resultar en una denegación de servicio (DoS). El ataque parece ser explotable mediante la especificación de un especificador con formato inválido en la función fmt::print(), lo que resulta en un SIGSEGV (corrupción de memoria y escritura inválida). Parece ser que la vulnerabilidad se ha solucionado tras el commit con ID 8cf30aa2be256eba07bb1cefb998c52326e846e7.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en OpenEMR (CVE-2018-1000020)
Fecha de publicación:
09/02/2018
Idioma:
Español
OpenEMR 5.0.0 contiene una vulnerabilidad de Cross Site Scripting (XSS) en open-flash-chart.swf y _posteddata.php. Parece ser que la vulnerabilidad se ha solucionado en la versión 5.0.0 Patch 2 y siguientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/03/2018

Vulnerabilidad en OpenEMR (CVE-2018-1000019)
Fecha de publicación:
09/02/2018
Idioma:
Español
OpenEMR 5.0.0 contiene una vulnerabilidad de inyección de comandos del sistema operativo en fax_dispatch.php que puede resultar en la inyección de comandos del sistema operativo por parte de un atacante autenticado con cualquier rol. Parece ser que la vulnerabilidad se ha solucionado en la versión 5.0.0 Patch 2 y siguientes.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/03/2018

Vulnerabilidad en Canvs Canvas (CVE-2017-1000507)
Fecha de publicación:
09/02/2018
Idioma:
Español
Canvs Canvas, en versiones 3.4.2 y anteriores, contiene una vulnerabilidad de Cross Site Scripting (XSS) en los detalles de usuario que puede resultar en una denegación de servicio (DoS) y en la ejecución de código JavaScript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2018

Vulnerabilidad en Invoice Plane (CVE-2017-1000508)
Fecha de publicación:
09/02/2018
Idioma:
Español
Invoice Plane, en versiones 1.5.4 y anteriores, contiene una vulnerabilidad de Cross Site Scripting (XSS) en los detalles de cliente que puede resultar en la ejecución de código JavaScript. Parece ser que la vulnerabilidad se ha solucionado en la versión 1.5.5 y siguientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2018

Vulnerabilidad en Croogo (CVE-2017-1000510)
Fecha de publicación:
09/02/2018
Idioma:
Español
Croogo, en su versión 2.3.1-17-g6f82e6c, contiene una vulnerabilidad de Cross Site Scripting (XSS) en un nombre de página que puede resultar en la ejecución de código JavaScript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2018

Vulnerabilidad en Mautic (CVE-2017-1000506)
Fecha de publicación:
09/02/2018
Idioma:
Español
Mautic, en versiones 2.11.0 y anteriores, contiene una vulnerabilidad de Cross Site Scripting (XSS) en el nombre de compañía que puede resultar en una denegación de servicio (DoS) y en la ejecución de código JavaScript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2018

Vulnerabilidad en GIT (CVE-2018-1000021)
Fecha de publicación:
09/02/2018
Idioma:
Español
GIT, en versiones 2.15.1 y anteriores, contiene una vulnerabilidad de error de validación de entradas en Client que puede resultar en problemas que incluyen errores de configuración de terminal en RCE. Parece ser que este ataque puede ser explotado mediante un usuario que interactúe con un servidor git malicioso (o que haga que el tráfico se modifique en un ataque MITM).
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2024

Vulnerabilidad en Bitpay/insight-api Insight-api (CVE-2018-1000023)
Fecha de publicación:
09/02/2018
Idioma:
Español
Bitpay/insight-api Insight-api, en versiones anteriores a la 5.0.0, contiene un CWE-20: vulnerabilidad de validación de entradas en el endpoint de transmisión de transacciones que puede resultar en la revelación de la ruta completa. Parece ser que este ataque puede ser explotado mediante una petición web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2018

Vulnerabilidad en mcholste Enterprise Log Search and Archive (CVE-2018-1000029)
Fecha de publicación:
09/02/2018
Idioma:
Español
mcholste Enterprise Log Search and Archive (ELSA), en la versión revision 1205, commit con ID 2cc17f1 y anteriores, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en index view (/). Este ataque parece ser explotable mediante una carga útil enviada mediante los parámetros type, name y value en /Query/set_preference y los parámetros name y value en /Query/preference. La carga útil se ejecuta cuando el usuario visita la vista index (/).
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/03/2018

Vulnerabilidad en Electrum Technologies GmbH Electrum Bitcoin Wallet (CVE-2018-1000022)
Fecha de publicación:
09/02/2018
Idioma:
Español
Electrum Technologies GmbH Electrum Bitcoin Wallet, en versiones anteriores a la 3.0.5, contiene una vulnerabilidad de falta de autenticación en la interfaz JSONRPC que puede resultar en el robo de Bitcoins si el wallet del usuario no está protegido por contraseña. Parece ser que este ataque puede ser explotado mediante una víctima que acceda a una página web con JavaScript especialmente manipulado. Parece ser que la vulnerabilidad se ha solucionado en la versión 3.0.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019
Suscribirse a Vulnerabilidades