Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función SQLWriteFileDSN en unixODBC (CVE-2018-7485)
Fecha de publicación:
26/02/2018
Idioma:
Español
La función SQLWriteFileDSN en odbcinst/SQLWriteFileDSN.c en unixODBC 2.3.5 tiene argumentos strncpy en el orden equivocado. Esto permite que atacantes provoquen una denegación de servicio (DoS) u otro tipo de impacto sin especificar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/08/2019

Vulnerabilidad en el componente "files" en ASANHAMAYESH CMS (CVE-2018-7463)
Fecha de publicación:
26/02/2018
Idioma:
Español
Una vulnerabilidad de inyección SQL en files.php en el componente "files" en ASANHAMAYESH CMS 3.4.6 permite que atacantes remotos ejecuten comandos SQL arbitrarios mediante el parámetro "id".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/03/2018

Vulnerabilidad en la extensión Facetag para Piwigo (CVE-2017-9426)
Fecha de publicación:
26/02/2018
Idioma:
Español
ws.php en la extensión Facetag 0.0.3 para Piwigo permite inyección SQL mediante el parámetro imageId en ws.php en una acción facetag.changeTag o facetag.listTags.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2018

Vulnerabilidad en la extensión Facetag para Piwigo (CVE-2017-9425)
Fecha de publicación:
26/02/2018
Idioma:
Español
La extensión Facetag 0.0.3 para Piwigo permite XSS mediante el parámetro name en ws.php en una acción facetag.changeTag.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2018

Vulnerabilidad en la implementación f2fs en el kernel de Linux (CVE-2017-18200)
Fecha de publicación:
26/02/2018
Idioma:
Español
La implementación f2fs en el kernel de Linux, en versiones anteriores a la 4.14, gestiona erróneamente las cuentas asociadas a las llamadas f2fs_wait_discard_bios. Esto permite que usuarios locales provoquen una denegación de servicio (bug), tal y como demuestra fstrim.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2018

Vulnerabilidad en YzmCMS (CVE-2018-7479)
Fecha de publicación:
26/02/2018
Idioma:
Español
YzmCMS 3.6 permite que atacantes remotos descubran la ruta completa mediante una petición directa a application/install/templates/s1.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2022

Vulnerabilidad en Apache Geode (CVE-2017-15696)
Fecha de publicación:
26/02/2018
Idioma:
Español
Cuando un clúster de Apache Geode, en versiones anteriores a la v1.4.0, está operando en modo seguro, el servicio de configuración Geode no autoriza las peticiones de configuración correctamente. Esto permite que un usuario no privilegiado que obtenga acceso al localizador Geode extraiga datos de configuración y el código de la aplicación anteriormente implementado.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en PureVPN (CVE-2018-7484)
Fecha de publicación:
26/02/2018
Idioma:
Español
Se ha descubierto un problema en PureVPN hasta su versión 5.19.4.0 en Windows. La instalación del cliente proporciona al grupo Everyone permisos de control total sobre el directorio de instalación. Además, el servicio PureVPNService.exe, que se ejecuta con privilegios NT Authority\SYSTEM, intenta cargar varias librerías dynamic-link mediante el uso de rutas relativas en lugar de la ruta absoluta. Al no emplear una ruta totalmente cualificada, la aplicación intentará cargar la librería desde el directorio en el que la aplicación se inicia. Como el directorio en el que se encuentra PureVPNService.exe puede ser escrito por todos los usuarios, esto hace que la aplicación sea susceptible a escalado de privilegios mediante secuestro de DLL.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2018

Vulnerabilidad en la función blkcg_init_queue en el kernel de Linux (CVE-2018-7480)
Fecha de publicación:
25/02/2018
Idioma:
Español
La función blkcg_init_queue en block/blk-cgroup.c en el kernel de Linux, en versiones anteriores a la 4.11, permite que los usuarios locales provoquen una denegación de servicio (doble liberación) o, posiblemente, causen otros impactos no especificados desencadenando un fallo de creación.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2023

Vulnerabilidad en dayrui FineCms (CVE-2018-7476)
Fecha de publicación:
25/02/2018
Idioma:
Español
controllers/admin/Linkage.php en dayrui FineCms 5.3.0 tiene Cross-Site Scripting (XSS) mediante los parámetros id o lid en una petición c=linkage,m=import a admin.php, debido a que el mecanismo de protección xss_clean se derrota al manipular entradas que carecen de los caracteres "".
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2024

Vulnerabilidad en la función IsWEBPImageLossless en ImageMagick (CVE-2018-7470)
Fecha de publicación:
25/02/2018
Idioma:
Español
Se ha descubierto un problema en ImageMagick 7.0.7-22 Q16. La función IsWEBPImageLossless en coders/webp.c permite que atacantes remotos provoquen una denegación de servicio (violación de segmentación) mediante un archivo manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2018

Vulnerabilidad en KingView (CVE-2018-7471)
Fecha de publicación:
25/02/2018
Idioma:
Español
KingView 7.5SP1 tiene un desbordamiento de enteros durante las operaciones de lectura de la API stgopenstorage.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2018
Suscribirse a Vulnerabilidades