Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2019-19642

Gravedad: 
Sin asignar
Fecha publicación : 
08/12/2019
Última modificación: 
08/12/2019
Descripción:  
*** Pendiente de traducción *** On SuperMicro X8STi-F motherboards with IPMI firmware 2.06 and BIOS 02.68, the Virtual Media feature allows OS Command Injection by authenticated attackers who can send HTTP requests to the IPMI IP address. This requires a POST to /rpc/setvmdrive.asp with shell metacharacters in ShareHost or ShareName. The attacker can achieve a persistent backdoor.

CVE-2019-19635

Gravedad: 
Sin asignar
Fecha publicación : 
08/12/2019
Última modificación: 
07/12/2019
Descripción:  
*** Pendiente de traducción *** An issue was discovered in libsixel 1.8.2. There is a heap-based buffer overflow in the function sixel_decode_raw_impl at fromsixel.c.

CVE-2019-19636

Gravedad: 
Sin asignar
Fecha publicación : 
08/12/2019
Última modificación: 
07/12/2019
Descripción:  
*** Pendiente de traducción *** An issue was discovered in libsixel 1.8.2. There is an integer overflow in the function sixel_encode_body at tosixel.c.

CVE-2019-19637

Gravedad: 
Sin asignar
Fecha publicación : 
08/12/2019
Última modificación: 
07/12/2019
Descripción:  
*** Pendiente de traducción *** An issue was discovered in libsixel 1.8.2. There is an integer overflow in the function sixel_decode_raw_impl at fromsixel.c.

CVE-2019-19638

Gravedad: 
Sin asignar
Fecha publicación : 
08/12/2019
Última modificación: 
07/12/2019
Descripción:  
*** Pendiente de traducción *** An issue was discovered in libsixel 1.8.2. There is a heap-based buffer overflow in the function load_pnm at frompnm.c, due to an integer overflow.

CVE-2019-19448

Gravedad: 
Sin asignar
Fecha publicación : 
07/12/2019
Última modificación: 
07/12/2019
Descripción:  
*** Pendiente de traducción *** In the Linux kernel 5.0.21 and 5.3.11, mounting a crafted btrfs filesystem image, performing some operations, and then making a syncfs system call can lead to a use-after-free in try_merge_free_space in fs/btrfs/free-space-cache.c because the pointer to a left data structure can be the same as the pointer to a right data structure.

CVE-2019-19449

Gravedad: 
Sin asignar
Fecha publicación : 
07/12/2019
Última modificación: 
07/12/2019
Descripción:  
*** Pendiente de traducción *** In the Linux kernel 5.0.21, mounting a crafted f2fs filesystem image can lead to slab-out-of-bounds read access in f2fs_build_segment_manager in fs/f2fs/segment.c, related to init_min_max_mtime in fs/f2fs/segment.c (because the second argument to get_seg_entry is not validated).

CVE-2019-19630

Gravedad: 
Sin asignar
Fecha publicación : 
07/12/2019
Última modificación: 
07/12/2019
Descripción:  
*** Pendiente de traducción *** HTMLDOC 1.9.7 allows a stack-based buffer overflow in the hd_strlcpy() function in string.c (when called from render_contents in ps-pdf.cxx) via a crafted HTML document.

CVE-2019-19447

Gravedad: 
Sin asignar
Fecha publicación : 
07/12/2019
Última modificación: 
07/12/2019
Descripción:  
*** Pendiente de traducción *** In the Linux kernel 5.0.21, mounting a crafted ext4 filesystem image, performing some operations, and unmounting can lead to a use-after-free in ext4_put_super in fs/ext4/super.c, related to dump_orphan_list in fs/ext4/super.c.

CVE-2019-16772

Gravedad: 
Sin asignar
Fecha publicación : 
06/12/2019
Última modificación: 
06/12/2019
Descripción:  
*** Pendiente de traducción *** The serialize-to-js NPM package before version 3.0.1 is vulnerable to Cross-site Scripting (XSS). It does not properly mitigate against unsafe characters in serialized regular expressions. This vulnerability is not affected on Node.js environment since Node.js's implementation of RegExp.prototype.toString() backslash-escapes all forward slashes in regular expressions. If serialized data of regular expression objects are used in an environment other than Node.js, it is affected by this vulnerability.

Páginas