Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2019-14832

Gravedad: 
Sin asignar
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** A flaw was found in the Keycloak REST API before version 8.0.0 where it would permit user access from a realm the user was not configured. An authenticated attacker with knowledge of a user id could use this flaw to access unauthorized information or to carry out further attacks.

CVE-2017-1002201

Gravedad: 
Sin asignar
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** In haml versions prior to version 5.0.0.beta.2, when using user input to perform tasks on the server, characters like " ' must be escaped properly. In this case, the ' character was missed. An attacker can manipulate the input to introduce additional attributes, potentially executing code.

CVE-2019-10760

Gravedad: 
Media
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** safer-eval before 1.3.2 are vulnerable to Arbitrary Code Execution. A payload using constructor properties can escape the sandbox and execute arbitrary code.

CVE-2019-17397

Gravedad: 
Media
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** In the DoorDash application through 11.5.2 for Android, the username and password are stored in the log during authentication, and may be available to attackers via logcat.

CVE-2019-10759

Gravedad: 
Media
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** safer-eval before 1.3.4 are vulnerable to Arbitrary Code Execution. A payload using constructor properties can escape the sandbox and execute arbitrary code.

CVE-2019-12944

Gravedad: 
Sin asignar
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** Glue Smart Lock 2.7.8 devices do not properly block guest access in certain situations where the network connection is unavailable.

CVE-2019-17195

Gravedad: 
Sin asignar
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** Connect2id Nimbus JOSE+JWT before v7.9 can throw various uncaught exceptions while parsing a JWT, which could result in an application crash (potential information disclosure) or a potential authentication bypass.

CVE-2019-17600

Gravedad: 
Alta
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** Intelbras IWR 1000N 1.6.4 devices allows disclosure of the administrator login name and password because v1/system/user is mishandled.

CVE-2019-17223

Gravedad: 
Media
Fecha publicación : 
15/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** There is HTML Injection in the Note field in Dolibarr ERP/CRM 10.0.2 via user/note.php.

CVE-2019-17593

Gravedad: 
Sin asignar
Fecha publicación : 
14/10/2019
Última modificación: 
15/10/2019
Descripción:  
*** Pendiente de traducción *** JIZHICMS 1.5.1 allows admin.php/Admin/adminadd.html CSRF to add an administrator.

Páginas