Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2018-1753)
Fecha de publicación:
08/10/2018
Idioma:
Español
IBM Tivoli Key Lifecycle Manager 2.6, 2.7 y 3.0 genera un mensaje de error que incluye información sensible sobre su entorno, usuarios o datos asociados. IBM X-Force ID: 148514.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en aplicaciones de Android de Auto-Masking (CVE-2018-5401)
Fecha de publicación:
08/10/2018
Idioma:
Español
Las aplicaciones de Android Auto-Maskin DCU 210E, RP-210E y Marine Pro Observer transmiten datos sensibles o críticos para la seguridad en texto claro en un canal de comunicación que puede ser rastreado por actores no autorizados. Los dispositivos transmiten la información de control de procesos mediante comunicaciones Modbus no cifradas. Impacto: un atacante puede explotar esta vulnerabilidad para observar información sobre configuraciones, opciones, qué sensores están presentes y en uso, y otro tipo de información para ayudar a manipular mensajes suplantados. Se requiere acceso a la red. Las versiones afectadas son las aplicaciones de Android Auto-Maskin DCU-210E RP-210E y Marine Pro Observer. Versiones anteriores a la 3.7 en ARMv7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en aplicaciones de Android de Auto-Masking (CVE-2018-5402)
Fecha de publicación:
08/10/2018
Idioma:
Español
Las aplicaciones de Android Auto-Maskin DCU 210E, RP-210E y Marine Pro Observer emplean un servidor web embebido que emplea texto plano para la transmisión del PIN del administrador. Impacto: Una vez autenticado, un atacante puede cambiar las configuraciones, subir nuevos archivos de configuración y subir código ejecutable mediante la subida de archivos para actualizaciones de firmware. Se requiere acceso a la red. Las versiones afectadas son las aplicaciones de Android Auto-Maskin DCU-210E RP-210E y Marine Pro Observer. Versiones anteriores a la 3.7 en ARMv7.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Auto-Maskin DCU 210E (CVE-2018-5399)
Fecha de publicación:
08/10/2018
Idioma:
Español
El firmware de Auto-Maskin DCU 210E contiene un servidor Dropbear SSH no documentado, v2015.55, configurado para escuchar en el puerto 22 mientras se está ejecutando DCU. El servidor DCU está configurado con una combinación embebida de nombre de usuario y contraseña de root/amroot. El servidor está configurado para emplear solo contraseñas en lugar de claves criptográficas; sin embargo, la imagen del firmware contiene una clave de host RSA para el servidor. Un atacante puede explotar esta vulnerabilidad para obtener acceso root al sistema operativo Angstrom Linux y modificar cualquier binario o archivo de configuración en el firmware. Las versiones afectadas son Auto-Maskin DCU-210E RP-210E: versiones anteriores a la 3.7 en ARMv7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en productos Auto-Maskin (CVE-2018-5400)
Fecha de publicación:
08/10/2018
Idioma:
Español
Los productos Auto-Maskin emplean un protocolo personalizado sin documentar para establecer comunicaciones Modbus con otros dispositivos sin validarlos. El dispositivo de origen envía un mensaje en texto plano, 48:65:6c:6c:6f:20:57:6f:72:6c:64, "Hello World" mediante los puertos UDP 44444-44446 a la dirección de retransmisión para el LAN. Sin verificación, los dispositivos responden a cualquiera de estos mensajes de transmisión en la red LAN con una respuesta en texto plano mediante UDP conteniendo el modelo del dispositivo y la versión de firmware. Siguiendo este intercambio, los dispositivos permiten las transmisiones Modbus entre los dos dispositivos en el puerto Modbus estándar TCP 502. Impacto: un atacante puede explotar esta vulnerabilidad para enviar mensajes arbitrarios a cualquier dispositivo DCU o RP mediante ataques de suplantación o reproducción durante el tiempo en el que tengan acceso a la red. Las versiones afectadas son Auto-Maskin DCU-210E RP-210E: versiones anteriores a la 3.7 en ARMv7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2018-1749)
Fecha de publicación:
08/10/2018
Idioma:
Español
IBM Tivoli Key Lifecycle Manager 2.6, 2.7 y 3.0 emplea una lista negra incompleta para la validación de entradas, lo que permite que los atacantes omitan los controles de la aplicación. Esto resulta en un impacto directo a la integridad del sistema y los datos. IBM X-Force ID: 148484.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en Rust Programming Language Standard Library (CVE-2018-1000810)
Fecha de publicación:
08/10/2018
Idioma:
Español
Rust Programming Language Standard Library en versiones 1.29.0, 1.28.0, 1.27.2, 1.27.1, 127.0, 126.2, 126.1 y 126.0 contiene una vulnerabilidad CWE-680: desbordamiento de enteros a desbordamiento de búfer en la biblioteca estándar que puede resultar en un desbordamiento de búfer. El ataque parece ser explotable mediante str::repeat (al pasar un número grande, puede desbordar un búfer interno). La vulnerabilidad parece haber sido solucionada en la versión 1.29.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en privacyIDEA (CVE-2018-1000809)
Fecha de publicación:
08/10/2018
Idioma:
Español
privacyIDEA en versiones 2.23.1 y anteriores contiene una validación incorrecta de validación de entradas incorrecta en la API de validación de tokens que puede resultar en una denegación de servicio (DoS). Este ataque parece ser explotable mediante una petición HTTP con user=pass= en la URL /validate/check. La vulnerabilidad parece haber sido solucionada en la versión 2.23.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2019

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2018-1742)
Fecha de publicación:
08/10/2018
Idioma:
Español
IBM Tivoli Key Lifecycle Manager 2.6, 2.7 y 3.0 contiene credenciales embebidas, como una contraseña o clave criptográfica, que emplea para su propia autenticación entrante, comunicaciones a componentes externos o cifrado de datos internos. IBM X-Force ID: 148421.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2018-1743)
Fecha de publicación:
08/10/2018
Idioma:
Español
IBM Tivoli Key Lifecycle Manager 2.6, 2.7 y 3.0 divulga información sensible a usuarios sin autorización. Esta información puede emplearse para ejecutar más ataques en el sistema. IBM X-Force ID: 148422.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2018-1741)
Fecha de publicación:
08/10/2018
Idioma:
Español
IBM Tivoli Key Lifecycle Manager 2.6, 2.7 y 3.0 no limita correctamente el número o frecuencia de la interacción, lo que podría emplearse para provocar una denegación de servicio (DoS), comprometer la lógica del programa u otras consecuencias. IBM X-Force ID: 148420.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en Gitea (CVE-2018-1000803)
Fecha de publicación:
08/10/2018
Idioma:
Español
Gitea en versiones anteriores a 1.5.1 contiene una vulnerabilidad CWE-200 que puede resultar en la exposición de las direcciones de email de los usuarios. Este ataque parece ser explotable mediante la visualización de un repositorio para recibir notificaciones de email. Los emails recibidos contienen los otros destinatarios incluso aunque tengan su email configurado como privado. La vulnerabilidad parece haber sido solucionada en la versión 1.5.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2019
Suscribirse a Vulnerabilidades