Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat Enterprise Linux (CVE-2016-8657)
Fecha de publicación:
31/07/2018
Idioma:
Español
Se ha descubierto que los paquetes EAP en ciertas versiones de Red Hat Enterprise Linux emplean permisos incorrectos para los archivo de configuración /etc/sysconfig/jbossas. El archivo puede escribirse en el grupo jboss (root:jboss, 664). En sistemas que emplean scripts init clásicos en /etc/init.d (i.e. en Red Hat Enterprise Linux 6 y anteriores), el archivo tiene su origen en el script jboss init y su contenido es ejecutado con privilegios root cuando se inicia, detiene o reinicia el servicio jboss.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2023

Vulnerabilidad en dispositivos Martem TELEM (CVE-2018-10603)
Fecha de publicación:
31/07/2018
Idioma:
Español
Los dispositivos Martem TELEM GW6 y GWM con firmware 2018.04.18-linux_4-01-601cb47 y anteriores no realizan la autenticación de comandos de control IEC-104, lo que podría permitir que un nodo no autorizado controle de forma remota el proceso industrial.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/06/2021

Vulnerabilidad en dispositivos Martem TELEM (CVE-2018-10607)
Fecha de publicación:
31/07/2018
Idioma:
Español
Los dispositivos Martem TELEM GW6 y GWM con firmware 2018.04.18-linux_4-01-601cb47 y anteriores permiten la creación de nuevas conexiones a una o más IOA sin cerrarlas correctamente, lo que podría provocar una denegación de servicio (DoS) en el canal de control del proceso industrial.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2021

Vulnerabilidad en dispositivos Martem TELEM (CVE-2018-10609)
Fecha de publicación:
31/07/2018
Idioma:
Español
Los dispositivos Martem TELEM GW6 y GWM con firmware 2018.04.18-linux_4-01-601cb47 y anteriores permiten el saneamiento incorrecto de datos en un Websocket, lo que podría permitir Cross-Site Scripting (XSS) y ejecución de código del lado del cliente con los privilegios del usuario objetivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/06/2021

Vulnerabilidad en controladores Yokogawa STARDOM (CVE-2018-10592)
Fecha de publicación:
31/07/2018
Idioma:
Español
Los controladores Yokogawa STARDOM FCJ R4.02 y anteriores, FCN-100 R4.02 y anteriores, FCN-RTU R4.02 y anteriores y FCN-500 y anteriores R4.02 emplean credenciales embebidas que podrían permitir que un atacante obtenga acceso administrativo no autorizado al dispositivo, lo que podría resultar en la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en NetApp OnCommand Insight (CVE-2017-13652)
Fecha de publicación:
31/07/2018
Idioma:
Español
NetApp OnCommand Insight 7.3.0 y en versiones anteriores a la 7.2.0 es susceptible a ataques de secuestro de clics, lo que podría provocar que un usuario realice una acción no planeada en la interfaz de usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/10/2018

Vulnerabilidad en el controlador Mdapt de productos Huawei (CVE-2018-7992)
Fecha de publicación:
31/07/2018
Idioma:
Español
El controlador Mdapt de Huawei MediaPad M3 BTV-W09C128B353CUSTC128D001; Mate 9 Pro en versiones anteriores a la 8.0.0.356(C00) y P10 Plus en versiones anteriores a la 8.0.0.357(C00) tiene una vulnerabilidad de desbordamiento de búfer. El controlador no valida la entrada suficientemente, por lo que un atacante podría engañar al usuario para que instale una aplicación maliciosa que enviaría parámetros manipulados al controlador. Su explotación con éxito podría provocar una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/10/2018

Vulnerabilidad en smartphones HUAWEI Mate 10 (CVE-2018-7993)
Fecha de publicación:
31/07/2018
Idioma:
Español
Los smartphones HUAWEI Mate 10 en versiones anteriores a la ALP-AL00 8.1.0.311 tienen una vulnerabilidad de uso de memoria previamente liberada en el componente mediaserver. Un atacante engaña al usuario para que instale una aplicación maliciosa, que hace que el software referencie memoria una vez ha sido liberada. Si se explota con éxito, podría conducir a la ejecución de código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/10/2018

Vulnerabilidad en smartphones Huawei (CVE-2018-7957)
Fecha de publicación:
31/07/2018
Idioma:
Español
Los smartphones Huawei con software Victoria-AL00 8.0.0.336a(C00) tienen una vulnerabilidad de fuga de información. Debido a que una interfaz no verifica correctamente la autorización, los atacantes pueden explotar una aplicación con la autorización del estado del teléfono para obtener de forma adicional la ubicación del usuario.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/10/2019

Vulnerabilidad en productos Huawei (CVE-2018-7994)
Fecha de publicación:
31/07/2018
Idioma:
Español
Algunos productos Huawei IPS Module V500R001C50; NGFW Module V500R001C50; V500R002C10; NIP6300 V500R001C50; NIP6600 V500R001C50; NIP6800 V500R001C50; Secospace USG6600 V500R001C50; USG9500 V500R001C50 tienen una vulnerabilidad de filtrado de memoria. El software no libera la memoria asignada correctamente al procesar el cuestionario Protal. Un atacante remoto podría enviar muchos cuestionarios al dispositivo; su explotación con éxito podría provocar que el dispositivo se reinicie, ya que se quedaría sin memoria.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en SeedDMS (CVE-2018-12939)
Fecha de publicación:
31/07/2018
Idioma:
Español
Un error de salto de directorio en SeedDMS (anteriormente conocido como LetoDMS y MyDMS), en versiones anteriores a la 5.1.8, permite que un atacante autenticado escriba en (o elimine potencialmente) archivos arbitrarios mediante un .. (punto punto) en el parámetro "qquuid" en op/op.UploadChunks.php. NOTA: esto puede aprovecharse para ejecutar código arbitrario mediante CVE-2018-12940.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/09/2018

Vulnerabilidad en SeedDMS (CVE-2018-12944)
Fecha de publicación:
31/07/2018
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) persistente en la característica "Categories" en SeedDMS (anteriormente conocido como LetoDMS y MyDMS), en versiones anteriores a la 5.1.8, permite que atacantes remotos inyecten scripts web o HTML arbitrarios mediante el campo "name".
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/09/2018
Suscribirse a Vulnerabilidades