Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ektron Content Management System (CMS) (CVE-2012-5357)
Fecha de publicación:
30/10/2017
Idioma:
Español
Ektron Content Management System (CMS) en versiones anteriores a la 8.02 SP5 emplea la clase XslCompiledTransform con enablescript establecido en true. Esto permite que atacantes remotos ejecuten código arbitrario con privilegios NETWORK SERVICE mediante datos XSL manipulados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en la función XSLTCompiledTransform en Ektron Content Management System (CMS) (CVE-2012-5358)
Fecha de publicación:
30/10/2017
Idioma:
Español
La función XSLTCompiledTransform en Ektron Content Management System (CMS) en versiones anteriores a la 8.02 SP5 configura el XSL con enableDocumentFunction establecido como true. Esto permite que atacantes remotos lean archivos arbitrarios y, consecuentemente, omitan la autenticación, modifiquen el estado de vista o provoquen una denegación de servicio o, posiblemente, otro impacto sin especificar mediante datos XSL manipulados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en Apache Subversion (CVE-2013-4246)
Fecha de publicación:
30/10/2017
Idioma:
Español
libsvn_fs_fs/fs_fs.c en Apache Subversion en versiones 1.8.x anteriores a la 1.8.2 podría permitir que usuarios autenticados remotos con acceso commit corrompan repositorios FSFS y provoquen una denegación de servicio u obtengan información sensible editando las propiedades de revisión de paquetes.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Apache Traffic Server (CVE-2014-3624)
Fecha de publicación:
30/10/2017
Idioma:
Español
Apache Traffic Server en versiones 5.1.x anteriores a la 5.1.1 permite que atacantes remotos omitan las restricciones de acceso aprovechando el error a la hora de crear un canal seguro para las peticiones de reasignación empleando CONNECT.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en Apache WSS4J (CVE-2015-0226)
Fecha de publicación:
30/10/2017
Idioma:
Español
Apache WSS4J versiones anteriores a 1.6.17 y versiones 2.0.x anteriores a 2.0.2, filtra información inapropiadamente sobre fallos de descifrado cuando se descifra una clave o datos de mensajes cifrados, lo que facilita a atacantes remotos recuperar el formulario de texto plano de una clave simétrica por medio de una serie de mensajes diseñados. NOTA: esta vulnerabilidad se presenta debido a una corrección incompleta de CVE-2011-2487.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en qpidd en Apache Qpid (CVE-2015-0224)
Fecha de publicación:
30/10/2017
Idioma:
Español
qpidd en Apache Qpid 0.30 y anteriores permite que atacantes remotos provoquen una denegación de servicio (cierre inesperado del demonio) mediante un conjunto de secuencias de protocolo manipuladas. NOTA: Esta vulnerabilidad existe debido a una solución incompleta para CVE-2015-0203.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Dulwich (CVE-2017-16228)
Fecha de publicación:
29/10/2017
Idioma:
Español
Dulwich en versiones anteriores a la 0.18.5, cuando se utiliza un subproceso SSH, perote que atacantes remotos ejecuten comandos arbitrarios mediante una URL ssh con un carácter guión inicial en el nombre del host. Esta vulnerabilidad está relacioada con CVE-2017-9800, CVE-2017-12836, CVE-2017-12976, CVE-2017-1000116, and CVE-2017-1000117.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en la función aspath_put (CVE-2017-16227)
Fecha de publicación:
29/10/2017
Idioma:
Español
La función aspath_put en bgpd/bgp_aspath.c en Quagga en versiones anteriores a la 1.2.2 permite que los atacantes remotos provoquen una denegación de servicio (caída de sesión) mediante mensajes BGP Update, ya que el cálculo del tamaño de AS_PATH cuanta una serie de bytes dos veces y en consecuencia construye un menaje no válido.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en readelf en GNU Binutils (CVE-2017-15996)
Fecha de publicación:
29/10/2017
Idioma:
Español
elfcomm.c en readelf en GNU Binutils 2.29 permite que atacantes remotos provoquen una denegación de servicio (asignación de memoria excesiva) o, posiblemente, causen otro impacto no especificado mediante un archivo ELF manipulado que desencadene un desbordamiento de búfer en la cabecera del archivo atacado. Esto está relacionado con una variable no inicializada, un salto de condición incorrecto y con las funciones get_archive_member_name, process_archive_index_and_symbols y setup_archive.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en NQ Contacts Backup & Restore (CVE-2017-15997)
Fecha de publicación:
29/10/2017
Idioma:
Español
En la aplicación NQ Contacts Backup & Restore 1.1 para Android, el cifrado RC4 se emplea para proteger la contraseña de usuario almacenada localmente en las preferencias compartidas. Ya que hay una clave RC4 estática, un atacante puede obtener acceso a las credenciales de usuario accediendo al archivo de preferencias XML.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en NQ Contacts Backup & Restore (CVE-2017-15998)
Fecha de publicación:
29/10/2017
Idioma:
Español
En la aplicación NQ Contacts Backup & Restore 1.1 para Android, se utiliza el cifrado DES con una clave estática para proteger los datos de contacto transmitidos. Esto hace que sea más fácil para los atacantes remotos obtener información en texto claro rastreando la red.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en NQ Contacts Backup & Restore (CVE-2017-15999)
Fecha de publicación:
29/10/2017
Idioma:
Español
En la aplicación NQ Contacts Backup & Restore 1.1 para Android, no se utiliza HTTPS para transmitir los datos de usuario sincronizados y de inicio de sesión. A la hora de iniciar sesión, el nombre de usuario se transmite en texto claro junto con un hash SHA-1 de la contraseña. El atacante puede o bien comprometer el hash o utilizarlo para más ataques en donde solo se necesita el valor del hash.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades