Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el componente JS Support Ticket para Joomla! (CVE-2018-6007)
Fecha de publicación:
29/01/2018
Idioma:
Español
Existe Cross-Site Request Forgery (CSRF) en el componente JS Support Ticket 1.1.0 para Joomla! y permite que los atacantes inyecten HTML o editen un ticket.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/02/2018

Vulnerabilidad en el componente Jtag Members Directory para Joomla! (CVE-2018-6008)
Fecha de publicación:
29/01/2018
Idioma:
Español
Existe descarga de archivos arbitrarios en el componente Jtag Members Directory para Joomla! mediante el parámetro download_file.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/02/2018

Vulnerabilidad en Multilanguage Real Estate MLM Script (CVE-2018-6364)
Fecha de publicación:
29/01/2018
Idioma:
Español
Existe inyección SQL en Multilanguage Real Estate MLM Script hasta la versión 3.0 mediante el parámetro srch en /product-list.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/02/2018

Vulnerabilidad en TSiteBuilder (CVE-2018-6365)
Fecha de publicación:
29/01/2018
Idioma:
Español
Existe inyección SQL en TSiteBuilder 1.0 mediante el parámetro id en site.php, /pagelist.php o /page_new.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/02/2018

Vulnerabilidad en Vastal I-Tech Buddy Zone Facebook Clone (CVE-2018-6367)
Fecha de publicación:
29/01/2018
Idioma:
Español
Existe inyección SQL en Vastal I-Tech Buddy Zone Facebook Clone 2.9.9 mediante el parámetro request_id en /chat_im/chat_window.php o el parámetro category en /search_events.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/02/2018

Vulnerabilidad en DODOCOOL DC38 3-in-1 N300 Mini Wireless Range Extend (CVE-2018-5720)
Fecha de publicación:
29/01/2018
Idioma:
Español
Se ha descubierto un problema en dispositivos DODOCOOL DC38 3-in-1 N300 Mini Wireless Range Extend RTN2-AW.GD.R3465.1.20161103. Una vulnerabilidad de Cross-Site Request Forgery (CSRF) permite que atacantes remotos secuestren la autenticación de usuarios para peticiones que modifican todas las opciones. Esta vulnerabilidad puede conducir al cambio del nombre de usuario y contraseña de un usuario, el cambio de la contraseña Wi-Fi, etc.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/02/2018

Vulnerabilidad en Task Rabbit Clone (CVE-2018-6363)
Fecha de publicación:
29/01/2018
Idioma:
Español
Existe inyección SQL en Task Rabbit Clone 1.0 mediante el parámetro id en single_blog.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/03/2020

Vulnerabilidad en systemd-tmpfiles en systemd (CVE-2017-18078)
Fecha de publicación:
29/01/2018
Idioma:
Español
systemd-tmpfiles en systemd en versiones anteriores a la 237 intenta soportar cambios de propiedad/permisos en archivos con vínculos permanentes incluso aunque el sysctl fs.protected_hardlinks esté apagado. Esto permite que usuarios locales omitan las restricciones de acceso planeadas mediante vectores relacionados con un enlace permanente a un archivo para el que el usuario no tiene acceso de escritura, tal y como demuestra el cambio de propiedad del archivo /etc/passwd.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el kernel de Linux (CVE-2017-18079)
Fecha de publicación:
29/01/2018
Idioma:
Español
drivers/input/serio/i8042.c en el kernel de Linux en versiones anteriores a la 4.12.4 permite que atacantes provoquen una denegación de servicio (desreferencia de puntero NULL y cierre inesperado del sistema) o que, posiblemente, tengan otro tipo de impacto sin especificar debido a que el valor port->exists puede cambiar tras ser validado.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/02/2023

Vulnerabilidad en mpv (CVE-2018-6360)
Fecha de publicación:
28/01/2018
Idioma:
Español
mpv hasta la versión 0.28.0 permite que atacantes remotos ejecuten código arbitrario mediante un sitio web manipulado, ya que lee documentos HTML que contienen elementos VIDEO y aceptan URL arbitrarias en un atributo src sin una lista blanca de protocolos en player/lua/ytdl_hook.lua. Por ejemplo, una URL av://lavfi:ladspa=file= significa que el producto debería llamar a dlopen en un objeto compartido ubicado en un nombre de ruta local arbitraria. El problema existe debido a que el producto no considera que youtube-dl pueda proporcionar una URL potencialmente insegura.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/03/2019

Vulnerabilidad en la función decompileIF en libming (CVE-2018-6359)
Fecha de publicación:
27/01/2018
Idioma:
Español
La función decompileIF en util/decompile.c en libming, hasta la versión 0.4.8, es vulnerable a un uso de memoria previamente liberada, lo que puede permitir que los atacantes provoquen una denegación de servicio u otro tipo de impacto sin especificar mediante un archivo SWF manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2019

Vulnerabilidad en la función printDefineFont2 en libming (CVE-2018-6358)
Fecha de publicación:
27/01/2018
Idioma:
Español
La función printDefineFont2 en util/listfdb.c en libming, hasta la versión 0.4.8, es vulnerable a un desbordamiento de búfer basado en memoria dinámica (heap), lo que puede permitir que los atacantes provoquen una denegación de servicio u otro tipo de impacto sin especificar mediante un archivo FDB manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020
Suscribirse a Vulnerabilidades