Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SOPlanning (CVE-2014-8675)
Fecha de publicación:
31/08/2017
Idioma:
Español
Las versiones 1.32 y anteriores de SOPlanning generan links estáticos para compartir calendarios ICAL con información de sesión embebida, lo que permite a los atacantes remotos obtener una contraseña del propietario del calendario mediante un ataque de fuerza bruta en el hash de contraseña embebido.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en file_gets_contents en SOPlanning (CVE-2014-8676)
Fecha de publicación:
31/08/2017
Idioma:
Español
Una vulnerabilidad de salto de directorio en la función file_gets_contents en SOPlanning 1.32 y anteriores permite a los atacantes remotos determinar la existencia de archivos arbitrarios mediante un ".." (punto punto) en un parámetro de ruta URL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en Proceso de instalación de SOPlanning (CVE-2014-8677)
Fecha de publicación:
31/08/2017
Idioma:
Español
El proceso de instalación de SOPlanning 1.32 y versiones anteriores permite que los usuarios autenticados remotos ejecuten código .php arbitrario mediante un nombre de base de datos manipulado si los atacantes tienen una base de datos preparada y acceso a la base de datos existente con un nombre manipulado o permisos para crear bases de datos, o bien si se utiliza una versión de PHP anterior a la 5.2, la base de datos está caída y no es posible modificar smarty/templates_c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en pngcrush (CVE-2015-7700)
Fecha de publicación:
31/08/2017
Idioma:
Español
Existe una vulnerabilidad de doble liberación (double-free) en la estructura de elementos de código sPLT y en png.c en versiones pngcrush anteriores a la 1.7.87 que permite que los atacantes causen un impacto no especificado mediante vectores no conocidos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/05/2026

Vulnerabilidad en popuphelp.php en ATutor (CVE-2015-7711)
Fecha de publicación:
31/08/2017
Idioma:
Español
Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en popuphelp.php en ATutor 2.2 y anteriores que permite que los atacantes remotos inyecten scripts web o HTML arbitrarios mediante el parámetro h.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en Productos ALC y Carrier i-Vu (CVE-2016-5795)
Fecha de publicación:
31/08/2017
Idioma:
Español
Se descubrió una vulnerabilidad XXE en Automated Logic Corporation (ALC) Liebert SiteScan Web en versiones 6.5 y anteriores, ALC WebCTRL versión 6.5 y anteriores y Carrier i-Vu versión 6.5 y anteriores. Un atacante podría introducir valores entrantes maliciosos en WebCTRL, i-Vu o SiteScan Web a través de un analizador XML mal configurado para ejecutar código arbitrario o divulgar contenidos de archivos desde un servidor o red conectada.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en Webmail en IceWarp Server (CVE-2017-7855)
Fecha de publicación:
31/08/2017
Idioma:
Español
El el componente webmail en IceWarp Server 11.3.1.5, existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el parámetro language.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en system/classes/Kohana/Security.php en Kohana (CVE-2016-10510)
Fecha de publicación:
31/08/2017
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el componente de seguridad de Kohana en versiones anteriores a la 3.3.6 permite que los atacantes remotos inyecten scripts web o HTML arbitrarios al omitir el mecanismo de protección de strip_image_tags en system/classes/Kohana/Security.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en RubyGems (CVE-2017-0899)
Fecha de publicación:
31/08/2017
Idioma:
Español
RubyGems 2.6.12 y anteriores es vulnerable a especificaciones de gemas manipuladas maliciosamente que incluyen caracteres de escapada de terminal. Imprimir la especificación de las gemas ejecutaría secuencias de escapada de terminal.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/05/2026

Vulnerabilidad en RubyGems (CVE-2017-0901)
Fecha de publicación:
31/08/2017
Idioma:
Español
RubyGems 2.6.12 y anteriores no valida con éxito los nombres de las especificaciones, permitiendo que una gema manipulada maliciosamente sobrescriba cualquier archivo en el sistema de archivos.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en RubyGems (CVE-2017-0902)
Fecha de publicación:
31/08/2017
Idioma:
Español
RubyGems 2.6.12 y anteriores es vulnerable a secuestro de DNS, lo que permite a un atacante Man-in-the-Middle (MitM) forzar el cliente RubyGems a que descargue e instale gemas desde un servidor que está bajo el control del atacante.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en demo/phpThumb.demo.showpic.php en phpThumb() (CVE-2016-10508)
Fecha de publicación:
31/08/2017
Idioma:
Español
Existen múltiples vulnerabilidades de tipo Cross-Site Scripting (XSS) en phpThumb() en versiones anteriores a la 1.7.14 que permiten a los atacantes remotos inyectar scripts web o HTML arbitrarios a través de parámetros en demo/phpThumb.demo.showpic.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026
Suscribirse a Vulnerabilidades