Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin ConvertToPDF en Foxit Reader y PhantomPDF en Windows (CVE-2016-8875)
Fecha de publicación:
31/10/2016
Idioma:
Español
El plugin ConvertToPDF en Foxit Reader y PhantomPDF en versiones anteriores a 8.1 en Windows, cuando se habilita la aplicación gflags, permite a atacantes remotos provocar una denegación de servicio (lectura fuera de límites y caída de la aplicación) a través de una imagen TIFF manipulada, vulnerabilidad también conocida como "Data de Faulting Address se usa como uno o más argumentos en una Function Call posterior a partir de ConvertToPDF_x86!CreateFXPDFConvertor".
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en Foxit Reader para Mac y Linux (CVE-2016-8856)
Fecha de publicación:
31/10/2016
Idioma:
Español
Foxit Reader para Mac 2.1.0.0804 y versiones anteriores y Foxit Reader para Linux 2.1.0.0805 y versiones anteriores sufrieron una vulnerabilidad donde permisos de archivo débiles podrían ser explotados por atacantes para ejecutar código arbitrario. Después de la instalación, archivos del núcleo de Foxit Reader eran de escritura universal por defecto, permitiendo a un atacante sobre escribirlos con código de puerta trasera, lo cual cuando se ejecuta por un usuario privilegiado resultará en Privilege Escalation, Code Execution o ambas.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en dispositivos Samsung Galaxy (CVE-2016-7991)
Fecha de publicación:
31/10/2016
Idioma:
Español
En dispositivos Samsung Galaxy S4 hasta la versión S7, la aplicación "omacp" ignora información de seguridad incrustada en los mensajes OMACP resultando en que mensajes WAP Push SMS remotos no solicitados son aceptados, analizados y manejados por el dispositivo, lo que lleva a cambios en la configuración no autorizados, un subconjunto de SVE-2016-6542.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en dispositivos Samsung Galaxy (CVE-2016-7990)
Fecha de publicación:
31/10/2016
Idioma:
Español
En dispositivos Samsung Galaxy S4 hasta la versión S7, existe una condición de desbordamiento de entero dentro de libomacp.so al analizar mensajes OMACP (dentro de mensajes WAP Push SMS) que conducen a una corrupción de la pila que puede resultar en Denial of Service y potencial ejecución remota de código, un subconjunto de SVE-2016-6542.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/04/2025

Vulnerabilidad en dispositivos Samsung Galaxy (CVE-2016-7989)
Fecha de publicación:
31/10/2016
Idioma:
Español
En dispositivos Samsung Galaxy S4 hasta la versión S7, un OTA WAP PUSH SMS mal formado que contiene un mensaje enviado OMACP desencadena remotamente un ArrayIndexOutOfBoundsException no controlado en la implementación de Samsung de la clase WifiServiceImpl dentro de wifi-service.jar. Esto provoca que el tiempo de ejecución de Android se caiga continuamente, haciendo al dispositivo inutilizable hasta que se realiza un restablecimiento de fábrica, un subconjunto de SVE-2016-6542.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en dispositivos Samsung Galaxy (CVE-2016-7988)
Fecha de publicación:
31/10/2016
Idioma:
Español
En dispositivos Samsung Galaxy S4 hasta la versión S7, la ausencia de permisos en el responsable BroadcastReceiver de manejar los intentos com.[Samsung].android.intent.action.SET_WIFI lleva a que los mensajes de configuración no solicitados sean manejados por wifi-service.jar dentro del Android Framework, un subconjunto de SVE-2016-6542.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en DokuWiki 2016-06-26a (CVE-2016-7965)
Fecha de publicación:
31/10/2016
Idioma:
Español
DokuWiki 2016-06-26a y versiones más antiguas utiliza $_SERVER[HTTP_HOST] en lugar del ajuste baseurl como parte de la URL de restablecimiento de contraseña. Esto puede llevar a ataques phishing. (Un atacante remoto no autenticado puede cambiar el nombre del host de la URL a través de la cabecera HTTP del Host). La vulnerabilidad puede ser desencadenada sólo si la cabecera del Host no es parte del proceso de enrutamiento del servidor web (por ejemplo, si varios dominios son servidos por el mismo servidor web).
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en el método sendRequest en HTTPClient Class en el archivo /inc/HTTPClient.php en DokuWiki (CVE-2016-7964)
Fecha de publicación:
31/10/2016
Idioma:
Español
El método sendRequest en HTTPClient Class en el archivo /inc/HTTPClient.php en DokuWiki 2016-06-26a y versiones más antiguas, cuando se habilita la búsqueda por archivo multimedia, no tiene manera de restringir el acceso a redes privadas. Esto permite a usuarios escanear puertos de redes internas a través de SSRF, tales como 10.0.0.1/8, 172.16.0.0/12 y 192.168.0.0/16.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en la función pnmtoimage de convert en OpenJPEG (CVE-2016-9118)
Fecha de publicación:
30/10/2016
Idioma:
Español
Desbordamiento de búfer basado en memoria dinámica (WRITE de tamaño 4) en la función pnmtoimage de convert.c:1719 en OpenJPEG 2.1.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en la función imagetopnm de convert.c(jp2):1289 en OpenJPEG (CVE-2016-9117)
Fecha de publicación:
30/10/2016
Idioma:
Español
Acceso a puntero NULL en la función imagetopnm de convert.c(jp2):1289 en OpenJPEG 2.1.2. El impacto es de denegación de servicio. Alguien debe abrir un archivo j2k manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en la función imagetopnm de convert.c:2226(jp2) en OpenJPEG (CVE-2016-9116)
Fecha de publicación:
30/10/2016
Idioma:
Español
Acceso a puntero NULL en la función imagetopnm de convert.c:2226(jp2) en OpenJPEG 2.1.2. El impacto es de denegación de servicio. Alguien debe abrir un archivo j2k manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en la función imagetotga de convert.c(jp2):942 en OpenJPEG (CVE-2016-9115)
Fecha de publicación:
30/10/2016
Idioma:
Español
Sobre lectura de búfer basado en memoria dinámica en la función imagetotga de convert.c(jp2):942 en OpenJPEG 2.1.2. El impacto es de denegación de servicio. Alguien debe abrir un archivo j2k manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/04/2025
Suscribirse a Vulnerabilidades