Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en KeePass (CVE-2016-5119)
Fecha de publicación:
23/01/2017
Idioma:
Español
La funcionalidad de actualización automática en KeePass 2.33 y versiones anteriores, permite a atacantes man-in-the-middle ejecutar código arbitrario suplantando la respuesta de comprobación de versión y suministrando una actualización manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Gitlab (CVE-2016-4340)
Fecha de publicación:
23/01/2017
Idioma:
Español
La característica de suplantación en Gitlab 8.7.0, 8.6.0 hasta la versión 8.6.7, 8.5.0 hasta la versión 8.5.11, 8.4.0 hasta la versión 8.4.9, 8.3.0 hasta la versión 8.3.8 y 8.2.0 hasta la versión 8.2.4 permite a usuarios remotos autenticados para "iniciar sesión" como cualquier otro usuario a través de vectores no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Ruby-saml (CVE-2016-5697)
Fecha de publicación:
23/01/2017
Idioma:
Español
Ruby-saml en versiones anteriores a 1.3.0 permite a atacantes realizar ataques de envoltura de firmas XML a través de vectores no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Magento CE y EE (CVE-2016-4010)
Fecha de publicación:
23/01/2017
Idioma:
Español
Magento CE y EE en versiones anteriores a 2.0.6 permite a atacantes remotos llevar a cabo ataques de inyección de objeción de PHP y ejecutar código PHP arbitrario a través de la manipulación de los datos del carro de compra.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en Valve Steam (CVE-2016-5237)
Fecha de publicación:
23/01/2017
Idioma:
Español
Valve Steam 3.42.16.13 utiliza permisos débiles para los archivos en el directorio de programa Steam, lo que permite a usuarios locales modificar los archivos y posiblemente obtener privilegios como lo demuestra un archivo troyano Steam.exe
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en la interfaz XML-RPC en Movable Type Pro and Advanced (CVE-2016-5742)
Fecha de publicación:
23/01/2017
Idioma:
Español
Vulnerabilidad de inyección SQL en la interfaz XML-RPC en Movable Type Pro y Advanced 6.x en versiones anteriores a 6.1.3 y 6.2.x en versiones anteriores a 6.2.6 y Movable Type Open Source 5.2.13 y versiones anteriores permite a atacantes remotos ejecutar comandos SQL arbitrarios a través de vectores no especificados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en Zabbix (CVE-2016-4338)
Fecha de publicación:
23/01/2017
Idioma:
Español
La secuencia de comandos de configuración de parámetros de usuario de mysql (userparameter_mysql.conf) en el agente en Zabbix en versiones anteriores a 2.0.18, 2.2.x en versiones anteriores a 2.2.13 y 3.0.x en versiones anteriores a 3.0.3, cuando se utiliza con un shell que no sea bash, permite a atacantes dependientes de contexto ejecutar código arbitrario o comandos SQL a través del parámetro mysql.size.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Snort (CVE-2016-1417)
Fecha de publicación:
23/01/2017
Idioma:
Español
Vulnerabilidad de ruta de búsqueda no confiable en Snort 2.9.7.0-WIN32 permite a atacantes remotos ejecutar código arbitrario y llevar a cabo ataques de secuestro DLL a través de un troyano tcapi.dll que está localizado en la misma carpeta en un archivo remoto compartido como un archivo pcap que está siendo procesado.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Exponent CMS (CVE-2016-2242)
Fecha de publicación:
23/01/2017
Idioma:
Español
Exponent CMS 2.x en versiones anteriores a 2.3.7 Patch 3 permite a atacantes remotos ejecutar código arbitrarios a través del parámetro sc para install/index.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en header.c en lha (CVE-2016-1925)
Fecha de publicación:
23/01/2017
Idioma:
Español
Desbordamiento inferior de entero en header.c en lha permite a atacantes remotos tener un impacto no especificado a través de un valor de tamaño de encabezado grande para la cabecera (1) level0 o (2) level1 en un archivo lha, lo que desencadena un desbordamiento de búfer.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en tcprewrite en tcpreplay (CVE-2016-6160)
Fecha de publicación:
23/01/2017
Idioma:
Español
tcprewrite en tcpreplay en versiones anteriores a 4.1.2 permite a atacantes remotos provocar una denegación de servicio (fallo de segmentación) a través de un frame grande. Esta vulnerabilidad está relacionada con CVE-2017-14266.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en función duration en el paquete moment (CVE-2016-4055)
Fecha de publicación:
23/01/2017
Idioma:
Español
La función duration en el paquete moment en versiones anteriores a 2.11.2 para Node.js permite a atacantes remotos provocar una denegación de servicio (consumo de CPU ) a través de una cadena larga, vulnerabilidad también conocida como "Denial of Service (ReDoS) de expresión regular".
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades