Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en bkr/server/widgets.py en Beaker (CVE-2015-3161)
Fecha de publicación:
06/09/2017
Idioma:
Español
El código fuente de la barra de búsqueda en bkr/server/widgets.py en versiones de Beaker anteriores a la 20.1 no escapa etiquetas en literales de cadena cuando se crean archivos de tipo JSON.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en libaxl (CVE-2015-3450)
Fecha de publicación:
06/09/2017
Idioma:
Español
Un desbordamiento de búfer basado en montículos en libaxl 0.6.9 permite a los atacantes provocar una denegación de servicio (corrupción de memoria) o ejecutar código arbitrario utilizando un documento XML manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en URI.decode_www_form_component en Ruby (CVE-2014-6438)
Fecha de publicación:
06/09/2017
Idioma:
Español
El método URI.decode_www_form_component en versiones de Ruby anteriores a la 1.9.2-p330 permite que atacantes remotos provoquen una denegación de servicio (expresión regular catastrófica, consumo de recursos o bloqueo de la aplicación) utilizando un string manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en Epicor CRS Retail Store (CVE-2015-2210)
Fecha de publicación:
06/09/2017
Idioma:
Español
La ventana de ayuda en versiones de Epicor CRS Retail Store anteriores a la 3.2.03.01.008 permite que usuarios locales ejecuten código arbitrario inyectando JavaScript en el origen de la ventana para crear un botón que genere un intérprete de comandos.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en Audit en Linux (CVE-2015-5186)
Fecha de publicación:
06/09/2017
Idioma:
Español
Audit, en versiones anteriores a la 2.4.4 en Linux, no sanitiza caracteres escapados en nombres de archivos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en devscripts (CVE-2015-5705)
Fecha de publicación:
06/09/2017
Idioma:
Español
Una vulnerabilidad de inyección de argumentos en versiones anteriores a la 2.15.7 de devscripts permite a atacantes escribir en archivos arbitrarios utilizando un enlace simbólico y un nombre de archivo manipulados.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en simple-php-captcha (CVE-2015-6250)
Fecha de publicación:
06/09/2017
Idioma:
Español
simple-php-captcha antes del commit con ID 9d65a945029c7be7bb6bc893759e74c5636be694 permite a atacantes remotos generar automáticamente la respuesta de captcha, ejecutando el mismo código en el lado del cliente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en SAP Netweaver (CVE-2015-7241)
Fecha de publicación:
06/09/2017
Idioma:
Español
Existe una vulnerabilidad de tipo XML External Entity (XEE) en versiones de SAP Netweaver anteriores a la 7.01.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/05/2026

Vulnerabilidad en TelescopeJS (CVE-2015-3454)
Fecha de publicación:
06/09/2017
Idioma:
Español
TelescopeJS en versiones anteriores a la 0.15 filtra hashes de contraseñas bcrypt de usuarios en mensajes de tipo websocket. Esto podría permitir a atacantes remotos obtener hashes de contraseña realizando un ataque de tipo Cross-Site Scripting (XSS).
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

Vulnerabilidad en Froxlor (CVE-2015-5959)
Fecha de publicación:
06/09/2017
Idioma:
Español
Cuando se utiliza la configuración por defecto de Froxlor, en versiones anteriores a la 0.9.33.2, puede permitir que atacantes remotos obtengan la contraseña de la base de datos leyendo /logs/sql-error.log.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/05/2026

Vulnerabilidad en Tinfoil Devise-two-factor (CVE-2015-7225)
Fecha de publicación:
06/09/2017
Idioma:
Español
Tinfoil Devise-two-factor, en versiones anteriores a la 2.0.0, no sigue de manera estricta la sección 5.2 de la norma RFC 6238 y no "consume" una contraseña de un solo uso (también llamada OTP) correctamente validada. Esto permite que atacantes remotos o que se encuentren físicamente cerca inicien sesión como un usuario utilizando sus credenciales de acceso. Esto se llevaría a cabo realizando un ataque Man-in-the-Middle (MitM) entre el proveedor y el verificador u observando físicamente (lo que se conoce como shoulder surfing) y repitiendo la contraseña OTP en el intervalo de tiempo actual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

Vulnerabilidad en bkr/server/widgets.py en Beaker (CVE-2015-3162)
Fecha de publicación:
06/09/2017
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el diálogo de comentarios de edición en bkr/server/widgets.py en la versión 20.1 de Beaker permite que usuarios remotos autenticados inyecten scripts web o HTML arbitrarios escribiendo un comentario manipulado en una tarea cancelada en la que se confirma que se ha entregado o no correctamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026
Suscribirse a Vulnerabilidades