Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2005-4678

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Apple Safari 2.0.2 (aka 416.12) allows remote attackers to spoof the URL in the status bar via the title in an image in a link to a trusted site within a form to the malicious site. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4679

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Internet Explorer 6 for Windows XP Service Pack 2 allows remote attackers to spoof the URL in the status bar via the title in an image in a link to a trusted site within a form to the malicious site.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4686

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** PunBB 1.2.9, when used alone or with F-ART BLOG:CMS, includes config.php before calling the unregister_globals function, which allows attackers to obtain unspecified sensitive information.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4687

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** PunBB 1.2.9, used alone or with F-ART BLOG:CMS, may trust a client's IP address as specified in the X-Forwarded-For HTTP header rather than the TCP/IP stack, which allows remote attackers to misrepresent their IP address by sending a modified header.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4688

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** PunBB 1.2.9 does not require password entry when changing the e-mail address in an account's profile, which might allow an attacker to make an address change via a hijacked login session.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4689

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Six Apart Movable Type 3.16 stores account names and password hashes in a cookie, which allows remote attackers to login to an account by sniffing the cookie.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4690

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Six Apart Movable Type 3.16 allows local users with blog-creation privileges to create or overwrite arbitrary files of certain types (such as HTML and image files) by selecting an arbitrary directory as a blog's top-level directory. NOTE: this issue can be used in conjunction with CVE-2005-3102 to create or overwrite arbitrary files of all types.
Gravedad CVSS v2.0: BAJA
Última modificación:
03/04/2025

CVE-2005-4691

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** imake in NetBSD before 2.0.3, NetBSD-current before 12 September 2005, certain versions of X.Org, and certain versions of XFree86 allows local users to overwrite arbitrary files via a symlink attack on the temporary file for the file.0 target, which is used for a pre-formatted manual page.
Gravedad CVSS v2.0: BAJA
Última modificación:
03/04/2025

CVE-2005-4692

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Unspecified vulnerability in mroovca stats (mroovcastats) before 0.4.5b has unknown attack vectors and impact, related to cookies.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2005-4693

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Gaim-Encryption 2.38-1 on Debian Linux allows remote attackers to cause a denial of service (crash) via a crafted message from an ICQ buddy, possibly involving the GE_received_key function in keys.c.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4702

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** SQL injection vulnerability in the favorites module in index.php in IPBProArcade 2.5.2 allows remote attackers to inject arbitrary SQL commands via the gameid parameter. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. In addition, the demonstration code as used by third parties suggests that this might be a different type of vulnerability related to shell metacharacters. Finally, this could be a rediscovery of CVE-2004-1430.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4704

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Unspecified vulnerability in BEA WebLogic Server and WebLogic Express 8.1 through SP3, 7.0 through SP6, and 6.1 through SP7, when SSL is intended to be used, causes an unencrypted protocol to be used in certain unspecified circumstances, which causes user credentials to be sent across the network in cleartext and allows remote attackers to gain privileges.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025