Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en com.getdropbox.Dropbox (CVE-2018-12271)
Fecha de publicación:
13/06/2018
Idioma:
Español
** EN DISPUTA ** Se ha descubierto un problema de salto de directorio en la aplicación com.getdropbox.Dropbox 100.2 para iOS. La clase LAContext para la validación biométrica (TouchID) permite la omisión de autenticación reemplazando el valor boleano de retorno de LAContext para que sea "true" debido a que no se emplea el mecanismo de protección kSecAccessControlUserPresence. En otras palabras, un atacante podría autenticarse con una huella dactilar arbitraria. NOTA: el fabricante indica que este no es un ataque de interés en el contexto de su modelo de amenazas, que excluye a los dispositivos iOS con jailbreak.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2024

Vulnerabilidad en Enigmail (CVE-2018-12019)
Fecha de publicación:
13/06/2018
Idioma:
Español
La rutina de verificación de firmas en Enigmail en versiones anteriores a la 2.0.7 interpreta los ID de usuario como mensajes de estado/control y no mantiene correctamente el control sobre el estado de múltiples firmas. Esto permite que atacantes remotos suplanten firmas de email arbitrarias mediante claves públicas que contienen ID de usuario primario manipulados.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/05/2019

Vulnerabilidad en Knowage (CVE-2018-12355)
Fecha de publicación:
13/06/2018
Idioma:
Español
Knowage (anteriormente conocido como SpagoBI) 6.1.1 permite Cross-Site Scripting (XSS) mediante los campos name o description en el catálogo "Olap Schemas' Catalogue".
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2020

Vulnerabilidad en Libgcrypt (CVE-2018-0495)
Fecha de publicación:
13/06/2018
Idioma:
Español
Libgcrypt en versiones anteriores a la 1.7.10 y versiones 1.8.x anteriores a la 1.8.3 permite un ataque de canal lateral por caché de memoria en las firmas ECDSA que se puede mitigar mediante el uso de la ocultación durante el proceso de firmado en la función _gcry_ecc_ecdsa_sign en cipher/ecc-ecdsa.c. Esto también se conoce como Return Of the Hidden Number Problem o ROHNP. Para descubrir una clave ECDSA, el atacante necesita acceso a la máquina local o a una máquina virtual diferente en el mismo host físico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Symfony (CVE-2018-12040)
Fecha de publicación:
13/06/2018
Idioma:
Español
** EN DISPUTA ** Vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el generador de perfiles web en Symfony 3.3.6, de SensioLabs, permite que atacantes remotos inyecten scripts web o HTML mediante el parámetro "file". Esto también se conoce como URI _profiler/open?file=. NOTA: el fabricante indica que "el XSS ... está en el generador de perfiles web, una herramienta que nunca debería implementarse en producción (por lo que no gestionamos estos problemas como problemas de seguridad)".
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2024

CVE-2018-10407
Fecha de publicación:
13/06/2018
Idioma:
Español
Se ha descubierto un problema en Cb Response, de Carbon Black. Un binario universal/fat manipulado puede evadir las comprobaciones de firma de código de terceros. Al no completar la inspección completa del binario universal/fat, el usuario de la herramienta de terceros creerá que el código ha sido firmado por Apple, pero el código malicioso no firmado se ejecutará en su lugar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/08/2018

Vulnerabilidad en productos F-Secure (CVE-2018-10403)
Fecha de publicación:
13/06/2018
Idioma:
Español
Se ha descubierto un problema en F-Secure XFENCE y Little Flocker. Un binario universal/fat manipulado puede evadir las comprobaciones de firma de código de terceros. Al no completar la inspección completa del binario universal/fat, el usuario de la herramienta de terceros creerá que el código ha sido firmado por Apple, pero el código malicioso no firmado se ejecutará en su lugar.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en productos Objective-See (CVE-2018-10404)
Fecha de publicación:
13/06/2018
Idioma:
Español
Se ha descubierto un problema en KnockKnock, LuLu, TaskExplorer, WhatsYourSign y procInfo, de Objective-See. Un binario universal/fat manipulado puede evadir las comprobaciones de firma de código de terceros. Al no completar la inspección completa del binario universal/fat, el usuario de la herramienta de terceros creerá que el código ha sido firmado por Apple, pero el código malicioso no firmado se ejecutará en su lugar.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Google Santa y molcodesignchecker (CVE-2018-10405)
Fecha de publicación:
13/06/2018
Idioma:
Español
Se ha descubierto un problema en Google Santa y molcodesignchecker: Un binario universal/fat manipulado puede evadir las comprobaciones de firma de código de terceros. Al no completar la inspección completa del binario universal/fat, el usuario de la herramienta de terceros creerá que el código ha sido firmado por Apple, pero el código malicioso no firmado se ejecutará en su lugar.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Yelp OSXCollector (CVE-2018-10406)
Fecha de publicación:
13/06/2018
Idioma:
Español
Se ha descubierto un problema en Yelp OSXCollector. Un binario universal/fat manipulado puede evadir las comprobaciones de firma de código de terceros. Al no completar la inspección completa del binario universal/fat, el usuario de la herramienta de terceros creerá que el código ha sido firmado por Apple, pero el código malicioso no firmado se ejecutará en su lugar.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en VirusTotal (CVE-2018-10408)
Fecha de publicación:
13/06/2018
Idioma:
Español
Se ha descubierto un problema en VirusTotal. Un binario universal/fat manipulado puede evadir las comprobaciones de firma de código de entidades externas. Al no completar la inspección completa del binario universal/fat, el usuario de la herramienta externa creerá que el código ha sido firmado por Apple, pero el código malicioso no firmado se ejecutará en su lugar.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en McAfee Threat Intelligence Exchange Server (CVE-2017-3907)
Fecha de publicación:
13/06/2018
Idioma:
Español
Vulnerabilidad de inyección de código en la extensión ePolicy Orchestrator (ePO) en McAfee Threat Intelligence Exchange (TIE) Server en versiones 2.1.0 y anteriores permite que atacantes remotos ejecuten código HTML arbitrario que se refleja en la página web de respuesta mediante vectores sin especificar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades