Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en BigTree (CVE-2018-10574)
Fecha de publicación:
30/04/2018
Idioma:
Español
site/index.php/admin/trees/add/ en BigTree, en versiones 4.2.22 y anteriores, permite que atacantes remotos suban y ejecuten código PHP arbitrario debido a que la clase BigTreeStorage en core/inc/bigtree/apis/storage.php no evita la subida de archivos .htaccess.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/06/2018

Vulnerabilidad en Openshift Enterprise (CVE-2018-1102)
Fecha de publicación:
30/04/2018
Idioma:
Español
Se ha encontrado un error en la función source-to-image tal y como se distribuye con Openshift Enterprise 3.x. Una validación incorrecta de archivos tar en ExtractTarStreamFromTarReader en tar/tar.go conduce a un escalado de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2023

Vulnerabilidad en el router Norton Core (CVE-2018-5234)
Fecha de publicación:
30/04/2018
Idioma:
Español
El router Norton Core en versiones anteriores a la v237 podría ser susceptible a un exploit de inyección de comandos. Este es un tipo de ataque en el que el objetivo es la ejecución de comandos arbitrarios en el sistema host mediante software vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en OpenEMR (CVE-2018-10571)
Fecha de publicación:
30/04/2018
Idioma:
Español
Múltiples vulnerabilidades de Cross-Site Scripting (XSS) reflejado en OpenEMR, en versiones anteriores a la 5.0.1, permiten que atacantes remotos inyecten scripts web o HTML arbitrarios mediante (1) el parámetro patient en interface/main/finder/finder_navigation.php; (2) el parámetro key en interface/billing/get_claim_file.php; (3) los parámetros formid o (4) formseq en interface/orders/types.php; (5) los parámetros eraname, (6) paydate, (7) post_to_date, (8) deposit_date, (9) debug o (10) InsId en interface/billing/sl_eob_process.php; (11) los parámetros form_source, (12) form_paydate, (13) form_deposit_date, (14) form_amount, (15) form_name, (16) form_pid, (17) form_encounter, (18) form_date o (19) form_to_date en interface/billing/sl_eob_search.php; (20) los parámetros codetype o (21) search_term en interface/de_identification_forms/find_code_popup.php; (22) el parámetro search_term en interface/de_identification_forms/find_drug_popup.php; (23) el parámetro search_term en interface/de_identification_forms/find_immunization_popup.php; (24) el parámetro id en interface/forms/CAMOS/view.php; (25) el parámetro id en interface/forms/reviewofs/view.php o (26) el parámetro list_id parameter en library/custom_template/personalize.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/06/2018

Vulnerabilidad en OpenEMR (CVE-2018-10573)
Fecha de publicación:
30/04/2018
Idioma:
Español
interface/fax/fax_dispatch.php en OpenEMR, en versiones anteriores a la 5.0.1, permite que usuarios autenticados remotos omitan las restricciones de acceso planeadas mediante el parámetro scan.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en MagniComp SysInfo (CVE-2018-9310)
Fecha de publicación:
30/04/2018
Idioma:
Español
Se ha descubierto un problema en MagniComp SysInfo en versiones anteriores a la 10-H81 si setuid está en root (por defecto). Esta vulnerabilidad permite que cualquier usuario en un sistema Linux/UNIX ejecute SysInfo y obtenga un shell root, que puede emplearse para comprometer el sistema local.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en OpenEMR (CVE-2018-10572)
Fecha de publicación:
30/04/2018
Idioma:
Español
interface/patient_file/letter.php en OpenEMR, en versiones anteriores a la 5.0.1, permite que usuarios autenticados remotos omitan las restricciones de acceso planeadas mediante los parámetros newtemplatename y form_body.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en Frog CMS (CVE-2018-10570)
Fecha de publicación:
30/04/2018
Idioma:
Español
Frog CMS 0.9.5 tiene Cross-Site Scripting (XSS) en /install/index.php mediante el campo ['config']['admin_username'].
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/06/2018

Vulnerabilidad en Milestone XProtect Video Management Software (CVE-2018-7891)
Fecha de publicación:
30/04/2018
Idioma:
Español
Milestone XProtect Video Management Software (Corporate, Expert, Professional+, Express+, Essential+), de la versión 2016 R1 (10.0.a) a la 2018 R1 (12.1a), contiene endpoints .NET Remoting que son vulnerables a ataques de deserialización, lo que resulta en la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/06/2018

Vulnerabilidad en el monitor WLAN Philips IntelliVue MX40 (CVE-2017-9657)
Fecha de publicación:
30/04/2018
Idioma:
Español
Bajo condiciones especiales de la red 802.11, es posible realizar una reasociación parcial del monitor WLAN Philips IntelliVue MX40 B.06.18 con la estación central de monitorización. En este estado, la estación central de monitorización puede indicar que el MX40 no está conectado o asociado al monitor central y, por lo tanto, debería estar funcionando en modo de monitorización local (local audio-on, screen-on), pero el propio MX40 WLAN podría seguir funcionando en modo telemetría (local audio-off, screen-off). Si un paciente experimenta un evento de alarma y el personal clínico espera que MX40 proporcione una alarma local cuando no está disponible desde el dispositivo local, el tratamiento podría demorarse. Puntuación base de CVSS v3: 6.5, cadena de vector CVSS: AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Philips ha lanzado una actualización de software, la versión B.06.18, para solucionar la vulnerabilidad de limpieza indebida de excepción lanzada. Además, también ha implementado mitigaciones para reducir el riesgo asociado con la vulnerabilidad de gestión incorrecta de condiciones excepcionales. La actualización de software implementa mensajes y alarmas en el MX40 y en la estación central de monitorización cuando el MX40 se desconecta del punto de acceso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Philips IntelliVue MX40 (CVE-2017-9658)
Fecha de publicación:
30/04/2018
Idioma:
Español
Se ha determinado que ciertos mensajes de gestión de red 802.11 invocan defensas de seguridad de introducción en lista negra de puntos de acceso cuando no es necesario, lo que podría necesitar la intervención del personal hospitalario para restablecer el dispositivo y la conexión de red con el punto de acceso Wi-Fi. Durante este estado, Philips IntelliVue MX40 B.06.18 puede conectarse a un punto de acceso alternativo con un rango de señal para asociarlo a una estación central de monitorización o puede seguir en modo de monitorización local hasta que el personal hospitalario restablezca el dispositivo. Puntuación base de CVSS v3: 6.5, cadena de vector CVSS: AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Philips ha lanzado una actualización de software, la versión B.06.18, para solucionar la vulnerabilidad de limpieza indebida de excepción lanzada. Además, también ha implementado mitigaciones para reducir el riesgo asociado con la vulnerabilidad de gestión incorrecta de condiciones excepcionales. La actualización de software implementa mensajes y alarmas en el MX40 y en la estación central de monitorización cuando el MX40 se desconecta del punto de acceso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Delta PMSoft (CVE-2018-8839)
Fecha de publicación:
30/04/2018
Idioma:
Español
Delta PMSoft, en versiones 2.10 y anteriores, tiene múltiples vulnerabilidades de desbordamiento de búfer basado en pila en las que un archivo .ppm puede introducir un valor más grande del que el búfer de pila de tamaño fijo de PMSoft puede leer. Esto puede provocar que el búfer se sobrescriba, lo que podría permitir la ejecución de código arbitrario o que la aplicación se cierre inesperadamente. Puntuación base de CVSS v3: 7.1; cadena de vector CVSS: AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H. Delta Electronics recomienda que los usuarios afectados actualicen hasta, al menos, PMSoft v2.11, disponible desde el 22 de marzo de 2018, o a la última versión disponible.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/09/2020
Suscribirse a Vulnerabilidades