Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en xfs_swapext en fsxfsxfs_dfrag.c en el kernel de Linux kernel (CVE-2010-2226)

Fecha de publicación:
03/09/2010
Idioma:
Español
La función xfs_swapext en fs/xfs/xfs_dfrag.c en el kernel de Linux kernel anterior v2.6.35 no chequea adecuadamente los descriptores de archivo en SWAPEXT ioctl, lo que permiete a usuarios locales aprovechar el acceso de escritura y obtener acceso de lectura por intercambio de un fichero en otro fichero.
Gravedad CVSS v2.0: BAJA
Última modificación:
11/04/2025

Vulnerabilidad en do_anonymous_page en mmmemory.c en el kernel de Linux (CVE-2010-2240)

Fecha de publicación:
03/09/2010
Idioma:
Español
La función do_anonymous_page en mm/memory.c en el kernel de Linux anterior v2.6.27.52, v2.6.32.x anterior v2.6.32.19, v2.6.34.x anterior v2.6.34.4, y v2.6.35.x anterior v2.6.35.2 no separa adecuadamente la pila y la cabecera, lo que permite a atacantes dependientes del contexto ejecutar código de su elección por escritura en el final de la página de un segmento de memoria compartida, como quedó demostrado con un ataque de memoria exhaustiva contra el servidor X.Org X.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en lxsession-logout en lxsession en LXDE (CVE-2010-2532)

Fecha de publicación:
03/09/2010
Idioma:
Español
** DISCUTIDO** lxsession-logout en lxsession en LXDE, como el usado en SUSE openSUSE v11.3 y otras plataformas, no bloquea la pantalla cuando se aprieta el botón suspensión o hibernación, lo que puede hacer que atacantes de proximidad física fácilmente accedan al laptop a través de una acción resume. NOTA: no hay acuerdo general de que esto es una vulnerabilidad, porque el control sobre el bloqueo puede ser igual de seguro, o más seguro, en algunos entornos amenazados.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en apache2-slms package en SUSE Lifecycle Management Server (CVE-2010-1325)

Fecha de publicación:
03/09/2010
Idioma:
Español
Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en apache2-slms package en SUSE Lifecycle Management Server (SLMS) v1.0 en SUSE Linux Enterprise (SLE) v11 permite a atacantes remotos secuestar la autenticación de víctimas no especificadas a través de vectores relacionados con parámetros citados inadecuados. NOSE: algunas fuentes reportan que esta vulnerabilidad en un producto llamado "Apache SLMS," pero ésto es incorrecto.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en WebYaST en yast2-webclient en SUSE Linux Enterprise (SLE) (CVE-2010-1507)

Fecha de publicación:
03/09/2010
Idioma:
Español
WebYaST en yast2-webclient en SUSE Linux Enterprise (SLE) v11 en eWebYaST appliance usa una clave secreta fijada que es incrustadaen la imagen del dispositivo, lo que permite a atacantes remotos suplantar las cookies de sesión por conocimiento de esta clave.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en index.php en GaleriaSHQIP (CVE-2010-3207)

Fecha de publicación:
03/09/2010
Idioma:
Español
Vulnerabilidad de inyección SQL en index.php en GaleriaSHQIP v1.0, cuando magic_quotes_gpc está desactivado, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro album_id. NOTA: Algunos de estos detalles han sido obtenidos de fuentes de terceros.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en ajax.php en Wiccle Web Builder (WWB) (CVE-2010-3208)

Fecha de publicación:
03/09/2010
Idioma:
Español
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en ajax.php en Wiccle Web Builder (WWB) v1.00 y v1.0.1 permite a atacantes remotos inyectar código web de su elección o HTML a través del parámetro post_text en una acción site custom_search en index.php. NOTA: Algunos de estos detalles han sido obtenidos de fuentes de terceros.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Seagull (CVE-2010-3209)

Fecha de publicación:
03/09/2010
Idioma:
Español
Múltiples vulnerabilidades de inclusión de fichero remoto PHP en Seagull v0.6.7 permite a atacantes remotos ejecutar código PHP de su elección a través de una URL en el parámetro includeFile en (1) Config/Container.php y (2) HTML/QuickForm.php en fog/lib/pear/, el parámetro(3) driverpath en fog/lib/pear/DB/NestedSet.php, y el parámetro (4) path en fog/lib/pear/DB/NestedSet/Output.php.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en Multi-lingual E-Commerce System (CVE-2010-3210)

Fecha de publicación:
03/09/2010
Idioma:
Español
Múltiples vulnerabilidades de inclusión de fichero remoto PHP en Multi-lingual E-Commerce System v0.2 permite a atacantes remotos ejecutar código PHP de su elección a través de una URL en el parámetro include_path en (1) checkout2-CYM.php, (2) checkout2-EN.php, (3) checkout2-FR.php, (4) cat-FR.php, (5) cat-EN.php, (6) cat-CYM.php, (7) checkout1-CYM.php, (8) checkout1-EN.php, (9) checkout1-FR.php, (10) prod-CYM.php, (11) prod-EN.php, y (12) prod-FR.php en inc/.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en JE FAQ Pro (com_jefaqpro) v1.5.0 para Joomla! (CVE-2010-3211)

Fecha de publicación:
03/09/2010
Idioma:
Español
Múltiples vulnerabilidades de inyección SQL en el componente JE FAQ Pro (com_jefaqpro) v1.5.0 para Joomla! permite a atacantes remotos ejecutar comandos SQL de su elección a través de operaciones categorylist con el parámetro (1) catid o (2) o el parámetro catid en una acción lists.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en index.php en Seagull (CVE-2010-3212)

Fecha de publicación:
03/09/2010
Idioma:
Español
Vulnerabilidad de inyección SQL en index.php en Seagull v0.6.7 y anteriores permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro frmQuestion en una acción de recuperación, en conjunción con user/password PATH_INFO.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en index.php in Textpattern CMS (CVE-2010-3205)

Fecha de publicación:
03/09/2010
Idioma:
Español
Vulnerabilidad de inclusión de fichero remoto PHP en index.php en Textpattern CMS v4.2.0 permite a atacantes remotos ejecutar código PHP de su elección a traves de una URL en el parámetro inc. <br /> <br />
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025