Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Hanwha Techwin Smartcams (CVE-2018-6303)
Fecha de publicación:
13/03/2018
Idioma:
Español
Denegación de servicio (DoS) mediante la subida de firmware mal formado en Hanwha Techwin Smartcams.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Kubernetes (CVE-2017-1002101)
Fecha de publicación:
13/03/2018
Idioma:
Español
En Kubernetes, en versiones 1.3.x, 1.4.x, 1.5.x, 1.6.x y en versiones anteriores a la 1.7.14, 1.8.9 y 1.9.4, los contenedores que emplean montajes de volumen subpath con cualquier tipo de volumen (incluyendo pods no privilegiados, dependientes de los permisos de archivo) pueden acceder a archivos/directorios fuera del volumen, incluyendo el sistema de archivos del host.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en Kubernetes (CVE-2017-1002102)
Fecha de publicación:
13/03/2018
Idioma:
Español
En Kubernetes, en versiones 1.3.x, 1.4.x, 1.5.x, 1.6.x y en versiones anteriores a la 1.7.14, 1.8.9 y 1.9.4, los contenedores que emplean un volumen secreto, configMap, proyectado o downwardAPI pueden desencadenar la eliminación de archivos/directorios arbitrarios de los nodos en los que se están ejecutando.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Sentinel LDK RTE (CVE-2018-6304)
Fecha de publicación:
13/03/2018
Idioma:
Español
Desbordamiento de pila en el XML-parser personalizado en Sentinel LDK RTE de Gemalto, en versiones anteriores a la 7.65, conduce a una denegación de servicio (DoS) remota.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en Samba 4 AD DC (CVE-2018-1057)
Fecha de publicación:
13/03/2018
Idioma:
Español
En Samba 4 AD DC, el servidor LDAP en todas las versiones de Samba, desde la 4.0.0 en adelante, valida incorrectamente los permisos para modificar contraseñas por LDAP. Esto permite que usuarios autenticados cambien las contraseñas de cualquier otro usuario, incluyendo usuarios administrativos y cuentas de servicio privilegiadas (por ejemplo, Domain Controllers).
Gravedad CVSS v3.1: ALTA
Última modificación:
29/08/2022

Vulnerabilidad en Samba (CVE-2018-1050)
Fecha de publicación:
13/03/2018
Idioma:
Español
Todas las versiones de Samba, desde la 4.0.0 en adelante, son vulnerables a un ataque de denegación de servicio (DoS) cuando el servicio RPC spoolss se configura para ejecutarse como demonio externo. La falta de comprobaciones de saneamiento de entradas en algunos de los parámetros de entrada en las llamadas RPC spoolss podrían provocar que el servicio print spooler se cierre inesperadamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/09/2022

Vulnerabilidad en textpattern (CVE-2018-1000090)
Fecha de publicación:
13/03/2018
Idioma:
Español
textpattern, versión 4.6.2, contiene una vulnerabilidad de inyección XMl en la característica Import XML que puede resultar en una denegación de servicio (DoS) en el servidor web agotando los recursos de la memoria del servidor. Este ataque parece ser explotable mediante la subida de un archivo XML especialmente manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/04/2018

Vulnerabilidad en CryptoNote (CVE-2018-1000093)
Fecha de publicación:
13/03/2018
Idioma:
Español
CryptoNote, versión 0.8.9 y posiblemente en adelante, contiene un servidor RPC local que no requiere autenticación. Como resultado, los demonios RPC walletd y simplewallet procesarán cualquier comando que se les envíe, lo que provocará la ejecución remota de comandos y la toma de control del monedero de criptomonedas si un atacante es capaz de engañar a una aplicación (como un navegador web) para que se conecte y envíe un comando, por ejemplo. Este ataque parece ser explotable si una víctima visita una página web que aloje contenido malicioso que desencadene este comportamiento.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/04/2018

Vulnerabilidad en WolfCMS (CVE-2018-1000084)
Fecha de publicación:
13/03/2018
Idioma:
Español
WOlfCMS WolfCMS, versión 0.8.3.1, contiene una vulnerabilidad de Cross-Site Scripting (XSS) persistente en Layout Name (de la pestaña Layout) que puede resultar en que un usuario con pocos privilegios robe la cookie de un usuario administrador y comprometa la cuenta de administrador. El ataque parece ser explotable al ser necesario introducir código JavaScript en Layout Name.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2018

Vulnerabilidad en Ajenti (CVE-2018-1000083)
Fecha de publicación:
13/03/2018
Idioma:
Español
Ajenti, versión 2, contiene una vulnerabilidad de gestión incorrecta de errores en la petición JSON Login que puede resultar en que la requisición filtre una ruta del servidor. El ataque parece ser explotable ya que, al enviar un JSON mal formado, la herramienta responde con un error de traceback que filtra una ruta del servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2018

Vulnerabilidad en KadNode (CVE-2018-1000091)
Fecha de publicación:
13/03/2018
Idioma:
Español
KadNode, versión 2.2.0, contiene una vulnerabilidad de desbordamiento de búfer en Arguments al iniciar el binario que puede resultar en el control del flujo de ejecución del programa y desembocar en la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/04/2018

Vulnerabilidad en CMS Made Simple (CVE-2018-1000092)
Fecha de publicación:
13/03/2018
Idioma:
Español
CMS Made Simple, versión 2.2.5, contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la página de perfil de Administrador, cuyos detalles pueden encontrarse aquí http://dev.cmsmadesimple.org/bug/view/11715. Este ataque parece ser explotable mediante una página web especialmente manipulada. La vulnerabilidad parece haber sido solucionada en la versión 2.2.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/04/2018
Suscribirse a Vulnerabilidades