Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Pleasant Password Server (CVE-2017-17708)
Fecha de publicación:
31/07/2018
Idioma:
Español
Debido a comprobaciones de autorización incorrectas, es posible que cualquier usuario autenticado cambie los datos del perfil de otros usuarios en Pleasant Password Server en versiones anteriores a la 7.8.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en Intuit Lacerte (CVE-2018-11338)
Fecha de publicación:
31/07/2018
Idioma:
Español
Intuit Lacerte 2017 para Windows en un entorno cliente/servidor transfiere la lista completa de clientes en texto claro por SMB, lo que permite que los atacantes (1) obtengan información sensible rastreando la web o (2) lleven a cabo ataques Man-in-the-Middle (MitM) mediante vectores sin especificar. La lista de clientes contiene, de cada cliente, el nombre completo, número de la Seguridad Social (SSN), dirección, puesto de trabajo, número de teléfono, dirección de email, teléfono/email del cónyuge, además de otro tipo de información sensible. Una vez el software cliente se autentica en la base de datos del servidor, el servidor envía la lista de clientes. No se necesita más explotación, ya que se exponen todos los datos sensibles. La vulnerabilidad fue validada en Intuit Lacerte 2017, aunque otras versiones de Lacerte podrían ser también vulnerables.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2024

Vulnerabilidad en read_tmp y write_tmp en Inteno IOPSYS (CVE-2018-14533)
Fecha de publicación:
31/07/2018
Idioma:
Español
read_tmp y write_tmp en Inteno IOPSYS permite que los atacantes obtengan privilegios tras escribir en /tmp/etc/smb.conf debido a que /var es un enlace simbólico hacia /tmp.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en F5 BIG-IP Controller for Kubernetes (CVE-2018-5543)
Fecha de publicación:
31/07/2018
Idioma:
Español
F5 BIG-IP Controller for Kubernetes 1.0.0-1.5.0 (k8s-bigip-crtl) pasa el nombre de usuario y la contraseña de BIG-IP como parámetros de la línea de comandos, lo que podría conducir a la divulgación de las credenciales empleadas por el contenedor.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en el componente Federation de OpenStack Keystone (CVE-2018-14432)
Fecha de publicación:
31/07/2018
Idioma:
Español
En el componente Federation de OpenStack Keystone en versiones anteriores a la 11.0.4, 12.0.0 y 13.0.0, una petición "GET /v3/OS-FEDERATION/projects" autenticada podría omitir las restricciones de acceso planeadas en los proyectos en lista. Un usuario autenticado podría descubrir proyectos a los que no están autorizados a acceder, filtrando todos los proyectos desplegados y sus atributos. Solo se ha visto afectado Keystone con el endpoint /v3/OS-FEDERATION habilitado mediante policy.json.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2021

Vulnerabilidad en Apache Tomcat Native (CVE-2018-8019)
Fecha de publicación:
31/07/2018
Idioma:
Español
Al emplear un respondedor OCSP, Apache Tomcat Native desde la versión 1.2.0 hasta la 1.2.16 y desde la versión 1.1.23 hasta la 1.1.34 no gestionó correctamente las respuestas inválidas. Esto permitió que los certificados de cliente revocados se identificasen erróneamente. Por lo tanto, era posible que los usuarios se autenticasen con certificados revocados al emplear TLS mutuo. Los usuarios que no emplean comprobaciones OCSP no se han visto afectados por esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Apache Camel (CVE-2018-8027)
Fecha de publicación:
31/07/2018
Idioma:
Español
Apache Camel, de la versión 2.20.0 a la 2.20.3 y en la versión 2.21.0 Core es vulnerable a XEE (XML External Entity) en el procesador de validación XSD.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2018-1718)
Fecha de publicación:
31/07/2018
Idioma:
Español
IBM Sterling B2B Integrator Standard Edition 5.2.0.1 - 5.2.6.3 es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 147166.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en el portal de desarrollo de IBM API Connect (CVE-2018-1638)
Fecha de publicación:
31/07/2018
Idioma:
Español
El portal de desarrollo de IBM API Connect 5.0.0.0-5.0.8.3 no aplica TFA (Two Factor Authentication) al restablecer una contraseña de usuario, pero lo aplica para el resto de escenarios de inicio de sesión. IBM X-Force ID: 144483.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Apache Tomcat Native (CVE-2018-8020)
Fecha de publicación:
31/07/2018
Idioma:
Español
Apache Tomcat Native desde la versión 1.2.0 hasta la 1.2.16 y desde la versión 1.1.23 hasta la 1.1.34 tiene un error por el cual no comprueba las respuestas OCSP preproducidas, las cuales son listas (múltiples entradas) de estados de certificados. Subsecuentemente, los certificados de cliente revocados no se identifican correctamente, lo que permite que los usuarios se autentiquen con certificados revocados en conexiones que requieren TLS mutuo. Los usuarios que no emplean comprobaciones OCSP no se han visto afectados por esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Kamailio (CVE-2018-14767)
Fecha de publicación:
31/07/2018
Idioma:
Español
En Kamailio, en versiones anteriores a la 5.0.7 y versiones 5.1.x anteriores a la 5.1.4, un mensaje SIP manipulado con una cabecera "To" doble y una etiqueta "To" vacía provoca un fallo de segmentación y un cierre inesperado. La razón es la falta de validación de entradas en la función core "build_res_buf_from_sip_req". Esto podría resultar en una denegación de servicio (DoS) y, potencialmente, la ejecución de código arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/10/2018

Vulnerabilidad en el módulo de npm "whereis" (CVE-2018-3772)
Fecha de publicación:
30/07/2018
Idioma:
Español
La concatenación de entradas de usuario no saneadas en el módulo de npm "whereis" en versiones anteriores a la 0.4.1 permitía que un atacante ejecute comandos arbitrarios. El módulo "whereis" está obsoleto y se recomienda emplear el módulo "which" en su lugar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades