Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función manage_sql.c en OpenVAS Manager (CVE-2011-0018)

Fecha de publicación:
28/01/2011
Idioma:
Español
La función email manage_sql.c en OpenVAS Manager v1.0.x a ka v1.0.3 y v2.0.x a la v2.0rc2 permite a usuarios autenticados remotamente ejecutar comandos de su elección a través de los campos (1) To or (2) From en una petición OMP al Greenbone Security Assistant (GSA).
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en N-13 News (CVE-2011-0642)

Fecha de publicación:
25/01/2011
Idioma:
Español
Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en news/admin.php para N-13 News v3.4, v3.7, y v4.0, permite a atacantes remotos secuestrar la autenticación de los administradores en las peticiones que crean nuevos usuarios a través de la acción de las opciones. NOTA:algunos de estos detalles han sido obtenidos de información de terceros.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en PHP Link Directory (phpLD) (CVE-2011-0643)

Fecha de publicación:
25/01/2011
Idioma:
Español
Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en admin/conf_users_edit.php para PHP Link Directory (phpLD) v4.1.0, permite a atacantes remotos secuestrar la autenticación de los administradores para solicitudes que añaden un administrador a través de la acción N.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en PHPCMS 2008 (CVE-2011-0644)

Fecha de publicación:
25/01/2011
Idioma:
Español
Vulnerabilidad de inyección SQL en include/admin/model_field.class.php para PHPCMS 2008 V2 permite a atacantes remotos ejecutar comandos SQL a través del parámetro modelid en flash_upload.php.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en PHPCMS 2008 (CVE-2011-0645)

Fecha de publicación:
25/01/2011
Idioma:
Español
Vulnerabilidad de inyección SQL en data.php para PHPCMS 2008 V2 permite a atacantes remotos ejecutar comandos SQL a través del parámetro where_time en una acción "get".
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en viewfaqs.php para PHP LOW BIDS (CVE-2011-0646)

Fecha de publicación:
25/01/2011
Idioma:
Español
Vulnerabilidad de inyección SQL en viewfaqs.php para PHP LOW BIDS permite a atacantes remotos ejecutar comandos SQL a través del parámetro cat.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en StatPressCN para WordPress (CVE-2011-0641)

Fecha de publicación:
25/01/2011
Idioma:
Español
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en wp-admin/admin.php del complemento StatPressCN para WordPress permite a atacantes remotos inyectar secuencias de comando o código HTML a través de los parámetros (1) what1, (2) what2, (3) what3, (4) what4, y (5) what5. NOTA:la procedencia de esta información es desconocida, los detalles son obtenidos exclusivamente de la información de terceros.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en CDG para VideoLAN VLC Media Player (CVE-2011-0021)

Fecha de publicación:
25/01/2011
Idioma:
Español
Múltiples desbordamientos de búfer de la memoria dinámica en cdg.c del descodificador CDG para VideoLAN VLC Media Player anterior a v1.1.6 permite a atacantes remotos causar una denegación de servicio (caída de aplicación) o posiblemente ejecutar código de su elección a través de un vídeo CDG manipulado
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en función del núcleo de Linux (CVE-2010-4256)

Fecha de publicación:
25/01/2011
Idioma:
Español
La función pipe_fcntl en fs/pipe.c en el kernel de Linux anteriores a v2.6.37 no determinar correctamente si un archivo es una tubería (pipe) con nombre, que permite a usuarios locales causar una denegación de servicio a través de una llamada F_SETPIPE_SZ fcntl.
Gravedad CVSS v2.0: BAJA
Última modificación:
11/04/2025

Vulnerabilidad en Best Practical Solutions RT (CVE-2011-0009)

Fecha de publicación:
25/01/2011
Idioma:
Español
Best Practical Solutions RT v3.x anterior a v3.8.9rc2 y v4.x, utiliza el algoritmo MD5 para los hashes de contraseñas, lo que hace que sea más fácil para los atacantes dependientes del contexto determinar las contraseñas sin cifrar a través de un ataque de fuerza bruta sobre la base de datos.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Apple Mac OS X (CVE-2011-0639)

Fecha de publicación:
25/01/2011
Idioma:
Español
Apple Mac OS X no avisa adecuadamente al usuario antes de activar la funcionalidad adicional Human Interface Device (HID) sobre USB, lo que permite a atacantes remotos asistidos por el usuario ejecutar programas de su elección a través de datos USB manipulados, como fue demostrado al enviar datos con malware con el teclado y el ratón en un smartphone que el usuario conectó al ordenador.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Microsoft Windows (CVE-2011-0638)

Fecha de publicación:
25/01/2011
Idioma:
Español
Microsoft Windows no avisa adecuadamente al usuario antes de activar la funcionalidad adicional Human Interface Device (HID) sobre USB, lo que permite a atacantes remotos asistidos por un usuario ejecutar código de su elección a través de datos USB manipulados como fue demostrado al enviar malware a un smartphone mediante teclado y ratón que el usuario conectó al ordenador.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025