Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la funcionalidad de Trusted Platform Module (TPM) del software para Nexus 9000 Series Fabric Switches de Cisco (CVE-2019-1589)
Fecha de publicación:
03/05/2019
Idioma:
Español
Una vulnerabilidad en la funcionalidad de Trusted Platform Module (TPM) del software para Nexus 9000 Series Fabric Switches de Cisco en modo Application Centric Infrastructure (ACI), podría permitir que un atacante local no autenticado con acceso físico pueda ver información confidencial en un dispositivo afectado. La vulnerabilidad se genera por la falta de mecanismos adecuados de protección de datos para las claves de cifrado de disco que se usan dentro de las particiones en el disco duro de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al conseguir acceso físico al dispositivo afectado para visualizar ciertas claves de texto claro. Una explotación con éxito podría permitir al atacante ejecutar un proceso de arranque personalizado o realizar más ataques en un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2020

Vulnerabilidad en Session Initiation Protocol (SIP) (CVE-2019-1635)
Fecha de publicación:
03/05/2019
Idioma:
Español
Una vulnerabilidad en la funcionalidad de manejo de llamadas (call-handling) del Software Session Initiation Protocol (SIP) para teléfonos IP 7800 Series y 8800 Series de Cisco, podría permitir que un atacante remoto no identificado haga que un teléfono afectado se recargue inesperadamente, resultando en una condición de Denegación de Servicio (DoS ) temporal. La vulnerabilidad es debido a un manejo de errores incompleto cuando los datos XML dentro de un paquete SIP son analizados. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete SIP que contiene una carga XML maliciosa a un teléfono afectado. Una operación éxito podría permitir al atacante hacer que el teléfono afectado se recargue inesperadamente, resultando en una condición DoS temporal.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en la función gen_rand_uuid en el archivo lib / uuid.c (CVE-2019-11690)
Fecha de publicación:
03/05/2019
Idioma:
Español
La función gen_rand_uuid en el archivo lib / uuid.c en Das U-Boot versión 2014.04 hasta 2019.04, carece de una llamada srand, que permite a los atacantes determinar valores UUID en escenarios donde CONFIG_RANDOM_UUID está habilitado, y Das U-Boot se basa en los valores UUID de una tabla de particiones GUID de un dispositivo de arranque.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2019

Vulnerabilidad en el formato de archivo DICOM Part 10 en el estandar NEMA DICOM (CVE-2019-11687)
Fecha de publicación:
02/05/2019
Idioma:
Español
Se detectó un problema en el formato de archivo DICOM Part 10 en el estandar NEMA DICOM versión 1995 hasta 2019b. El preámbulo de un archivo DICOM que cumple con esta especificación puede contener el encabezado de un archivo ejecutable, como lo es el malware Portable Executable (PE). Este espacio no se especifica para que se puedan crear archivos de doble propósito. (Por ejemplo, los archivos TIFF/DICOM de doble propósito se usan en imágenes de diapositivas digitales completas para aplicaciones en medicina). Para aprovechar esta vulnerabilidad, alguien debe ejecutar un archivo creado con fines maliciosos que esté codificado en el formato de archivo DICOM Part 10. Los archivos PE/DICOM son ejecutables incluso con la extensión de archivo.dcm. Las configuraciones anti-malware en las instalaciones de salud a menudo ignoran las imágenes médicas. Además, las herramientas antimalware y los procesos comerciales podrían infringir los marcos regulatorios (como HIPAA) al procesar archivos DICOM sospechosos.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/07/2025

Vulnerabilidad en phpBB (CVE-2019-9826)
Fecha de publicación:
02/05/2019
Idioma:
Español
El componente de búsqueda de texto completo en PHP versión anterior a 3.2.6 permite una Denegación de Servicio,
Gravedad CVSS v3.1: ALTA
Última modificación:
04/05/2019

Vulnerabilidad en viewcgi.c de NCBI ToolBox (CVE-2018-16716)
Fecha de publicación:
02/05/2019
Idioma:
Español
En viewcgi.c existe una vulnerabilidad de paso de ruta en las versiones desde la 2.0.7 hasta la 2.2.26 de NCBI ToolBox, que puede dar lugar a la lectura de archivos arbitrarios (es decir, a la divulgación de información importante) o a la eliminación de archivos mediante la cadena de consulta nph-viewgif.cgi.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/05/2019

Vulnerabilidad en Open XDMoD (CVE-2018-16960)
Fecha de publicación:
02/05/2019
Idioma:
Español
Se ha descubierto un problema en Open XDMoD hasta la versión 7.5.0. html/gui/general/dl_publication.php permite el salto de directorio a través del parámetro de archivos, permitiendo a los atacantes remotos leer archivos PDF en directorios arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2019

Vulnerabilidad en Open XDMoD (CVE-2018-16988)
Fecha de publicación:
02/05/2019
Idioma:
Español
Se descubrió un problema en Open XDMoD en la versión 7.5.0. Existe una omisión de autenticación (account takeover) debido a un mecanismo de restablecimiento de contraseña débil. Un ataque por fuerza bruta contra un valor de eliminación MD5 requiere sólo 600 suposiciones en la situación plausible en la que el atacante sabe que la víctima ha iniciado un proceso de restablecimiento de contraseña (pass_reset.php, password_reset.php, XDUser.php) en los últimos minutos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/01/2020

Vulnerabilidad en Open XDMoD (CVE-2018-16961)
Fecha de publicación:
02/05/2019
Idioma:
Español
Se ha descubierto un problema en Open XDMoD hasta la versión 7.5.0. html/gui/general/dl_publication.php permite el salto de directorio a través del parámetro de archivos, permitiendo a los atacantes remotos leer archivos PDF en directorios arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2019

Vulnerabilidad en Lantronix SecureLinx Spider (SLS) (CVE-2018-10383)
Fecha de publicación:
02/05/2019
Idioma:
Español
Los dispositivos Lantronix SecureLinx Spider (SLS) 2.2+, tienen Cross-Site Scripting (XSS) en la página de inicio de sesión auth.asp.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2019

Vulnerabilidad en wwwblast.c (CVE-2018-16718)
Fecha de publicación:
02/05/2019
Idioma:
Español
Existe una vulnerabilidad XSS en wwwblast.c en las versiones legacy 2.0.7 a 2.2.26 de NCBI ToolBox mediante un argumento -z1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2019

Vulnerabilidad en nph-viewgif.cgi (CVE-2018-16717)
Fecha de publicación:
02/05/2019
Idioma:
Español
Existe un desbordamiento de búfer basado en memoria dinámica (heap) en nph-viewgif.cgi en las versiones legacy desde la 2.0.7 hasta la 2.2.26 en NCBI ToolBox
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020
Suscribirse a Vulnerabilidades