Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SeedDMS (CVE-2018-12944)
Fecha de publicación:
31/07/2018
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) persistente en la característica "Categories" en SeedDMS (anteriormente conocido como LetoDMS y MyDMS), en versiones anteriores a la 5.1.8, permite que atacantes remotos inyecten scripts web o HTML arbitrarios mediante el campo "name".
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/09/2018

Vulnerabilidad en SeedDMS (CVE-2018-12942)
Fecha de publicación:
31/07/2018
Idioma:
Español
Vulnerabilidad de inyección SQL en la funcionalidad "Users management" en SeedDMS (anteriormente conocido como LetoDMS y MyDMS), en versiones anteriores a la 5.1.8, permite que atacantes autenticados manipulen una consulta SQL en la aplicación mediante el envío de comandos SQL adicionales al servidor de la aplicación. Un atacante puede utilizar esta vulnerabilidad para realizar tareas maliciosas como extraer, cambiar o eliminar información sensible en la base de datos que soporta la aplicación o ejecutar comandos del sistema en el sistema operativo subyacente.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/09/2018

Vulnerabilidad en SeedDMS (CVE-2018-12940)
Fecha de publicación:
31/07/2018
Idioma:
Español
Una vulnerabilidad de subida de archivos sin restricción en op/op.UploadChunks.php en SeedDMS (anteriormente conocido como LetoDMS y MyDMS), en versiones anteriores a la 5.1.8, permite que atacantes remotos ejecuten código arbitrario subiendo un archivo con una extensión ejecutable especificada por el parámetro "qqfile". Esto permite que un atacante autenticado suba un archivo malicioso que contiene código PHP para ejecutar comandos del sistema operativo en el root web de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/10/2018

Vulnerabilidad en teléfonos móviles de Huawei (CVE-2018-7934)
Fecha de publicación:
31/07/2018
Idioma:
Español
Algunos teléfonos móviles de Huawei con versiones anteriores a la BLA-L29 8.0.0.145(C432) tienen una vulnerabilidad de denegación de servicio (DoS) porque no se adaptan a gestos de pantalla concretos. Un atacante podría engañar a un usuario para que instale una app maliciosa. Como resultado, las aplicaciones que se ejecutan en el frontend se cierran inesperadamente una vez el usuario realiza gestos de pantalla concretos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/10/2018

Vulnerabilidad en teléfonos móviles de Huawei (CVE-2018-7947)
Fecha de publicación:
31/07/2018
Idioma:
Español
Los teléfonos móviles Huawei con versiones anteriores a Emily-AL00A 8.1.0.153(C00) tienen una vulnerabilidad de omisión de autenticación. Un atacante puede engañar a un usuario para que se conecte a un dispositivo malicioso. En el modo de depuración, el software malicioso en el dispositivo podría explotar la vulnerabilidad para omitir algunas funciones específicas. Su explotación con éxito podría provocar que algunas aplicaciones se instalen en los teléfonos móviles.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/10/2018

Vulnerabilidad en SeedDMS (CVE-2018-12943)
Fecha de publicación:
31/07/2018
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) en todas las páginas que incluyen el parámetro URL "action" en SeedDMS (anteriormente conocido como LetoDMS y MyDMS), en versiones anteriores a la 5.1.8, permite que atacantes remotos inyecten scripts web o HTML arbitrarios mediante el parámetro action.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/10/2018

Vulnerabilidad en productos Redgate (CVE-2018-14581)
Fecha de publicación:
31/07/2018
Idioma:
Español
Redgate .NET Reflector en versiones anteriores a la 10.0.7.774 y SmartAssembly en versiones anteriores a la 6.12.5 permiten que los atacantes ejecuten código descompilando un objeto .NET compilado (como un archivo DLL o EXE) con un archivo de recurso embebido específico.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2018

Vulnerabilidad en SeedDMS (CVE-2018-12941)
Fecha de publicación:
31/07/2018
Idioma:
Español
Esta vulnerabilidad permite que atacantes remotos ejecuten código arbitrario en SeedDMS (anteriormente conocido como LetoDMS y MyDMS), en versiones anteriores a la 5.1.8, añadiendo un comando del sistema al final de la ruta "cacheDir" y siguiendo con el uso de la funcionalidad "Clear Cache". Esto permite que un atacante autenticado con permisos en la funcionalidad Settings inyecte comandos arbitrarios del sistema en la aplicación manipulando la ruta "Cache directory". Un atacante puede utilizarlo para realizar tareas maliciosas como extraer, cambiar o eliminar información sensible o ejecutar comandos del sistema en el sistema operativo subyacente.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2018

Vulnerabilidad en F5 BIG-IP APM (CVE-2018-5544)
Fecha de publicación:
31/07/2018
Idioma:
Español
Cuando F5 BIG-IP APM 13.0.0-13.1.1 o 12.1.0-12.1.3 renderiza ciertas páginas (páginas con un agente logon o una caja de confirmación), BIG-IP APM podría divulgar información de configuración como los nombres de partición y de agente mediante parámetros del URI.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/10/2018

Vulnerabilidad en productos Huawei (CVE-2017-17174)
Fecha de publicación:
31/07/2018
Idioma:
Español
Algunos productos Huawei RSE6500 V500R002C00; SoftCo V200R003C20SPCb00; VP9660 V600R006C10; eSpace U1981 V100R001C20; V200R003C20; V200R003C30 y V200R003C50 tienen una vulnerabilidad de algoritmo débil. Para explotar esta vulnerabilidad, un atacante no autenticado remoto debe capturar tráfico TLS entre los clientes y los productos afectados. El atacante podría iniciar un ataque Bleichenbacher en el intercambio de claves RSA para descifrar la clave de sesión y las sesiones previamente capturadas por medio de operaciones de criptoanálisis. Un exploit con éxito podría provocar un filtrado de información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/10/2018

Vulnerabilidad en Pleasant Password Server (CVE-2017-17707)
Fecha de publicación:
31/07/2018
Idioma:
Español
Debido a la falta de comprobaciones de autorización, cualquier usuario autenticado puede listar, subir o eliminar adjuntos a entradas password safe en Pleasant Password Server en versiones anteriores a la 7.8.3. Para realizar estas acciones sobre una entrada, el usuario necesita conocer el valor "CredentialId", que identifica de forma única una entrada password safe. Como los valores "CredentialId" se implementan como GUID, son difíciles de adivinar. Sin embargo, si el propietario de una entrada, por ejemplo, otorga acceso de solo lectura a un usuario malicioso, el valor será expuesto a este usuario malicioso. Lo mismo ocurre con los permisos temporales.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Pleasant Password Server (CVE-2017-17708)
Fecha de publicación:
31/07/2018
Idioma:
Español
Debido a comprobaciones de autorización incorrectas, es posible que cualquier usuario autenticado cambie los datos del perfil de otros usuarios en Pleasant Password Server en versiones anteriores a la 7.8.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019
Suscribirse a Vulnerabilidades