Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2019-6513

Gravedad: 
Sin asignar
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** An issue was discovered in WSO2 API Manager 2.6.0. It is possible for a logged-in user to upload, as API documentation, any type of file by changing the extension to an allowed one.

CVE-2019-12270

Gravedad: 
Sin asignar
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** OpenText Brava! Enterprise and Brava! Server 7.5 through 16.4 configure excessive permissions by default on Windows. During installation, a displaylistcache file share is created on the Windows server with full read and write permissions for the Everyone group at both the NTFS and Share levels. The share is used to retrieve documents for processing, and to store processed documents for display in the browser. The only required share level access is read/write by the JobProcessor service account. At the local filesystem level, the only additional required permissions would be read/write from the servlet engine, such as Tomcat. (The affected server components are not installed with Content Server by default, and must be installed separately.) NOTE: the vendor's position is that customers are not supposed to use this default setting without consulting the documentation.

CVE-2019-12269

Gravedad: 
Sin asignar
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** Enigmail before 2.0.11 allows PGP signature spoofing: for an inline PGP message, an attacker can cause the product to display a "correctly signed" message indication, but display different unauthenticated text.

CVE-2019-12252

Gravedad: 
Media
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** In Zoho ManageEngine ServiceDesk Plus through 10.5, users with the lowest privileges (guest) can view an arbitrary post by appending its number to the SDNotify.do?notifyModule=Solution&mode=E-Mail¬ifyTo=SOLFORWARD&id= substring.

CVE-2019-12189

Gravedad: 
Media
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** An issue was discovered in Zoho ManageEngine ServiceDesk Plus 9.3. There is XSS via the SearchN.do search field.

CVE-2019-12190

Gravedad: 
Baja
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** XSS was discovered in CentOS-WebPanel.com (aka CWP) CentOS Web Panel through 0.9.8.747 via the testacc/fileManager2.php fm_current_dir or filename parameter.

CVE-2019-12253

Gravedad: 
Media
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** my little forum before 2.4.20 allows CSRF to delete posts, as demonstrated by mode=posting&delete_posting.

CVE-2019-12250

Gravedad: 
Media
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** IdentityServer IdentityServer4 through 2.4 has stored XSS via the httpContext to the host/Extensions/RequestLoggerMiddleware.cs LogForErrorContext method, which can be triggered by viewing a log.

CVE-2019-12251

Gravedad: 
Media
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** sadmin/ceditpost.php in UCMS 1.4.7 allows SQL Injection via the index.php?do=sadmin_ceditpost cvalue parameter.

CVE-2019-10319

Gravedad: 
Sin asignar
Fecha publicación : 
21/05/2019
Última modificación: 
21/05/2019
Descripción:  
*** Pendiente de traducción *** A missing permission check in Jenkins PAM Authentication Plugin 1.5 and earlier, except 1.4.1 in PamSecurityRealm.DescriptorImpl#doTest allowed users with Overall/Read permission to obtain limited information about the file /etc/shadow and the user Jenkins is running as.

Páginas