Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el restablecimiento de contraseña en el plugin Member de Ultimate para WordPress (CVE-2019-10270)

Gravedad: 
Media
Fecha publicación : 
21/06/2019
Última modificación: 
24/06/2019
Descripción:  
Se detectó un problema de restablecimiento de contraseña arbitrario en el plugin Member versión 2.39 de Ultimate para WordPress. Es posible restablecer la contraseña de otro usuario (debido a la falta de comprobación y correlación entre la clave de restablecimiento de la contraseña enviada por correo y el parámetro user_id). Solo se necesita conocer el user_id, que está disponible públicamente. Solo hay que interceptar la solicitud de modificación de contraseña y modificar el ID de usuario. Es posible modificar las contraseñas de cualquier usuario o administrador de WordPress Ultimate Members. Esto podría conllevar a comprometer la cuenta y la escalada de privilegios.

Vulnerabilidad en Akamai CloudTest (CVE-2019-11011)

Gravedad: 
Alta
Fecha publicación : 
21/06/2019
Última modificación: 
23/06/2019
Descripción:  
Akamai CloudTest anterior a versión 58.30, permite la ejecución remota de código.

Vulnerabilidad en el Cliente VPN de Media Private Internet Access (PIA) de London Trust para Windows (CVE-2019-12572)

Gravedad: 
Sin asignar
Fecha publicación : 
21/06/2019
Última modificación: 
21/06/2019
Descripción:  
Una vulnerabilidad en el Cliente VPN versión 1.0.2 (build 02363) de Media Private Internet Access (PIA) de London Trust para Windows, podría permitir a un atacante local autenticado ejecutar código arbitrario con privilegios elevados. En el inicio, el servicio Windows PIA (pia-service.exe) carga la biblioteca OpenSSL desde %PROGRAMFILES%\Private Internet Access\libeay32.dll. Esta biblioteca intenta cargar el archivo de configuración C:\etc\ssl\openssl.cnf que no existe. Por defecto, en los sistemas Windows, los usuarios autenticados pueden crear directorios en C:\. Un usuario poco privilegiado puede crear un archivo de configuración C:\etc\ssl\openssl.cnf para cargar una biblioteca del motor OpenSSL maliciosa, que resulta en la ejecución de código arbitrario como SYSTEM cuando el servicio se inicia.

Vulnerabilidad en los metadatos del clúster interno en servidor Apache Geode (CVE-2017-15694)

Gravedad: 
Media
Fecha publicación : 
21/06/2019
Última modificación: 
24/06/2019
Descripción:  
Cuando un servidor Apache Geode versiones desde 1.0.0 hasta 1.8.0 está operando en modo seguro, un usuario con permisos de escritura para regiones de datos específicas puede modificar los metadatos del clúster interno. Un usuario malicioso podría modificar estos datos de manera que afecte la operación del clúster.

Vulnerabilidad en Cloudera Data Science Workbench (CVE-2018-15665)

Gravedad: 
Media
Fecha publicación : 
21/06/2019
Última modificación: 
21/06/2019
Descripción:  
Se detectó un problema en Cloudera Data Science Workbench (CDSW) versión 1.2.x hasta 1.4.0. Los usuarios no autenticados pueden conseguir una lista de cuentas de usuario.

Vulnerabilidad en el archivo de controlador szkg64.sys en STOPzilla AntiMalware (CVE-2018-15729)

Gravedad: 
Baja
Fecha publicación : 
21/06/2019
Última modificación: 
21/06/2019
Descripción:  
Se detectó un problema en STOPzilla AntiMalware versión 6.5.2.59. El archivo de controlador szkg64.sys contiene una vulnerabilidad de denegación de servicio debido a que no comprueba el valor de la dirección del búfer de salida de IOCtl 0x8000204B.

Vulnerabilidad en el archivo del controlador szkg64.sys en STOPzilla AntiMalware (CVE-2018-15730)

Gravedad: 
Baja
Fecha publicación : 
21/06/2019
Última modificación: 
21/06/2019
Descripción:  
Se detectó un problema en STOPzilla AntiMalware versión 6.5.2.59. El archivo del controlador szkg64.sys contiene una vulnerabilidad de denegación de servicio debido a que no comprueba el valor de la dirección del búfer de salida de IOCtl 0x80002067.

Vulnerabilidad en el archivo del controlador szkg64.sys en STOPzilla AntiMalware (CVE-2018-15731)

Gravedad: 
Baja
Fecha publicación : 
21/06/2019
Última modificación: 
21/06/2019
Descripción:  
Se detectó un problema en STOPzilla AntiMalware versión 6.5.2.59. El archivo de controlador szkg64.sys contiene una vulnerabilidad de denegación de servicio debido a que no comprueba el valor de la dirección del búfer de salida de IOCtl 0x8000205B.

Vulnerabilidad en el archivo del controlador szkg64.sys en STOPzilla AntiMalware (CVE-2018-15732)

Gravedad: 
Baja
Fecha publicación : 
21/06/2019
Última modificación: 
21/06/2019
Descripción:  
Se detectó un problema en STOPzilla AntiMalware versión 6.5.2.59. El archivo del controlador szkg64.sys contiene una vulnerabilidad de escritura arbitraria debido a que no comprueba el valor de la dirección del búfer de salida de IOCtl 0x80002063.

Vulnerabilidad en el archivo del controlador szkg64.sys en STOPzilla AntiMalware (CVE-2018-15733)

Gravedad: 
Baja
Fecha publicación : 
21/06/2019
Última modificación: 
21/06/2019
Descripción:  
Se detectó un problema en STOPzilla AntiMalware versión 6.5.2.59. El archivo del controlador szkg64.sys contiene una vulnerabilidad de desreferencia de puntero NULL debido a que no comprueba el tamaño del valor del búfer de salida de IOCtl 0x80002028.

Páginas