Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Novell eDirectory (CVE-2009-0895)
Fecha de publicación:
03/12/2009
Idioma:
Español
Desbordamiento de entero en Novell eDirectory v8.7.3.x anteriores a v8.7.3.10 ftf2 y v8.8.x anteriores a v8.8.5.2 permite a atacantes remotos ejecutar código arbitrario a través de la peticion NDS 0x1 conteniendo un valor de entero largo que inicia un desbordamiento de búfer basado en pila.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Lateral Arts Photobox uploader (CVE-2009-1567)
Fecha de publicación:
03/12/2009
Idioma:
Español
Múltiples desbordamiento de búfer basados en pila en el control ActiveX Lateral Arts Photobox uploader v1.x anteriores a v1.3, y v2.2.0.6, que permite a atacantes remotos ejecutar codigo arbitrario a traves de una cadena URL larga para los valores de las propiedades (1) LogURL, (2) ConnectURL, (3) SkinURL, (4) AlbumCreateURL, (5) ErrorURL, or (6) httpsinglehost.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en extensión de Firefox Wikipedia Toolbar (CVE-2009-4127)
Fecha de publicación:
02/12/2009
Idioma:
Español
Vulnerabilidad inespecífica en la extensión de Firefox Wikipedia Toolbar anteriores a v0.5.9.2 permite a atacantes remotos con ayuda del usuario ejecutar JavaScript arbitrario con privilegios Chrome a través de vectores que incluyen botones inespecíficos de la barra de herramientas y la función eval. NOTA: LA procedencia de la información es desconocida; los detalles fueron obtenidos de terceras partes.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en _rtld en Run-Time Link-Editor (rtld) en libexecrtld-elfrtld.c en FreeBSD (CVE-2009-4147)
Fecha de publicación:
02/12/2009
Idioma:
Español
La función _rtld en Run-Time Link-Editor (rtld) en libexec/rtld-elf/rtld.c en FreeBSD v7.1 y v8.0 no limpia las variables de entorno de (1) LD_LIBMAP, (2) LD_LIBRARY_PATH, (3) LD_LIBMAP_DISABLE, (4) LD_DEBUG, and (5) LD_ELF_HINTS_PATH lo que permite a usuarios locales conseguir privilegios mediante la ejecución de un programa setuid o setguid con una variable modificada que contiene una ruta de búsqueda sin confianza que apunta a una libreria de un troyano con vectores diferentes que CVE-2009-4146.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en ActiveX en YahooBridgeLib.dll para Yahoo! Messenger (CVE-2009-4171)
Fecha de publicación:
02/12/2009
Idioma:
Español
Un control ActiveX en YahooBridgeLib.dll para Yahoo! Messenger v9.0.0.2162, y posiblemente otras versiones 9.0, permite a atacantes remotos producir una denegación de servicio (desreferencia a un puntero NULL y caída de aplicación ) mediante una llamada al método RegisterMe con un argumento largo.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en index.php en CutePHP CuteNews y UTF-8 CuteNews (CVE-2009-4172)
Fecha de publicación:
02/12/2009
Idioma:
Español
Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en index.php en CutePHP CuteNews v1.4.6 y UTF-8 CuteNews v8 y v8b, cuando magic_quotes_gp está deshabilitado, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del cuerpo de una noticia en una acción addnews.
Gravedad CVSS v2.0: BAJA
Última modificación:
09/04/2025

Vulnerabilidad en CutePHP CuteNews (CVE-2009-4173)
Fecha de publicación:
02/12/2009
Idioma:
Español
Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en CutePHP CuteNews v1.4.6 y UTF-8C uteNews en versiones anteriores a la 8b permite a atacantes remotos secuestras la autenticación de los administradores para peticiones de creación de nuevos usuarios, incluyendo un nuevo administrador, a través de la acción "adduser" en el modulo editusers en index.php.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en módulo editnews de CutePHP CuteNews y UTF-8 (CVE-2009-4174)
Fecha de publicación:
02/12/2009
Idioma:
Español
El módulo editnews de CutePHP CuteNews v1.4.6 y UTF-8 CuteNews anterior a 8b, cuando está deshabilitado magic_quotes_gpc, permite a usuarios autenticados en remoto con acceso de Editor o Informador -Journalis- evitar la moderación de los administradores y editar artículos enviados previamente a través de un parámetro id modificado en una acción doeditnews.<br />
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en CutePHP CuteNews y UTF-8 CuteNews (CVE-2009-4175)
Fecha de publicación:
02/12/2009
Idioma:
Español
CutePHP CuteNews v1.4.6 y UTF-8 CuteNews anterior a 8b, permiten a atacantes remotos obtener información sensible a través de un valor de fecha no válida en el parámetro from_date_day de search.php, esto hace que en el mensaje de error se muestre la ruta de instalación.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en wp-cumulus.php del WP-Cumulus Plug-in para WordPress (CVE-2009-4169)
Fecha de publicación:
02/12/2009
Idioma:
Español
Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en wp-cumulus.php del WP-Cumulus Plug-in anterior a v1.22 para WordPress, permite a atacantes remotos inyectar secuencias de comandos Web o HTML de su elección a través de vectores no especificados.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en función _rtld en el Run-Time Link-Editor (rtld) de libexecrtld-elfrtld.c de FreeBSD (CVE-2009-4146)
Fecha de publicación:
02/12/2009
Idioma:
Español
La función _rtld en el Run-Time Link-Editor (rtld) de libexec/rtld-elf/rtld.c de FreeBSD v7.1, v7.2 y v8.0, no limpia la variable de entorno LD_PRELOAD, esto permite a usuarios locales aumentar sus privilegios al ejecutar el programa setuid o setguid con la variable LD_PRELOAD modificada para que contenga una ruta de búsqueda no confiable que apunte a una biblioteca de un Troyano. Se trata de una vulnerabilidad diferente de CVE-2009-4147.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en módulo Joomulus para Joomla! (CVE-2009-4168)
Fecha de publicación:
02/12/2009
Idioma:
Español
Vulnerabilidad de tipo cross-site scripting (XSS) en el archivo tagcloud.swf, tal como es usado en el plugin WP-Cumulus de Roy Tanck anterior a versión 1.23 para WordPress y la versión 2.0 y anterior del módulo Joomulus para Joomla!, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro tagcloud en una acción tags. La vulnerabilidad de tipo cross-site scripting (XSS) en tagcloud.swf en el plug-in WP-Cumulus anterior a versión 1.23 para WordPress, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro tagcloud.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025
Suscribirse a Vulnerabilidades