Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IBM Emptoris Sourcing Portfolio (CVE-2014-3033)
Fecha de publicación:
26/08/2014
Idioma:
Español
Vulnerabilidad de XSS en IBM Emptoris Sourcing Portfolio 9.5.x anterior a 9.5.1.3, 10.0.0.x anterior a 10.0.0.1, 10.0.1.x anterior a 10.0.1.3, y 10.0.2.x anterior a 10.0.2.4 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de una URL manipulada.
Gravedad CVSS v2.0: BAJA
Última modificación:
12/04/2025

Vulnerabilidad en IBM Emptoris Contract Management, Emptoris Sourcing Portfolio y Emptoris Spend Analysis (CVE-2014-3040)
Fecha de publicación:
26/08/2014
Idioma:
Español
Vulnerabilidad de CSRF en IBM Emptoris Contract Management 9.5.x anterior a 9.5.0.6 iFix 10, 10.0.0.x anterior a 10.0.0.1 iFix 10, 10.0.1.x anterior a 10.0.1.4, y 10.0.2.x anterior a 10.0.2.2 iFix 2; Emptoris Sourcing Portfolio 9.5.x anterior a 9.5.1.3, 10.0.0.x anterior a 10.0.0.1, 10.0.1.x anterior a 10.0.1.3, y 10.0.2.x anterior a 10.0.2.4; y Emptoris Spend Analysis 9.5.x anterior a 9.5.0.4, 10.0.1.x anterior a 10.0.1.3, y 10.0.2.x anterior a 10.0.2.4 permite a usuarios remotos autenticados secuestrar la autenticación de usuarios arbitrarios para solicitudes que insertan secuencias de XSS.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en QNAP TS-469U, TS-459U, TS-EC1679U-RP, y SS-839 (CVE-2014-5457)
Fecha de publicación:
25/08/2014
Idioma:
Español
QNAP TS-469U con firmware 4.0.7 Build 20140410, TS-459U, TS-EC1679U-RP, y SS-839 utilizan permisos de lectura universal para /etc/config/shadow, lo que permite a usuarios locales obtener los nombres de los usuarios y las contraseñas en hash mediante la lectura de la contraseña.
Gravedad CVSS v2.0: BAJA
Última modificación:
12/04/2025

Vulnerabilidad en el módulo Social Stats para Drupal (CVE-2014-5456)
Fecha de publicación:
25/08/2014
Idioma:
Español
Vulnerabilidad de XSS en el módulo Social Stats anterior a 7.x-1.5 para Drupal permite a usuarios remotos autenticados con el permiso '[Content Type]: Create new content' (crear contenido nuevo) inyectar secuencias de comandos web o HTML arbitrarios a través de vectores relacionados con la configuración.
Gravedad CVSS v2.0: BAJA
Última modificación:
12/04/2025

Vulnerabilidad en sqrl_verify.php en php-sqrl (CVE-2014-5458)
Fecha de publicación:
25/08/2014
Idioma:
Español
Vulnerabilidad de inyección SQL en sqrl_verify.php en php-sqrl permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro message.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en Ubisoft Uplay PC (CVE-2014-5453)
Fecha de publicación:
25/08/2014
Idioma:
Español
Ubisoft Uplay PC anterior a 4.6.1.3217 utiliza permisos débiles (Everyone: Full Control) para el directorio de la instalación de programas (%PROGRAMFILES%\Ubisoft Game Launcher), lo que permite a usuarios locales ganar privilegios a través de un fichero caballo de troya.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en el módulo de la subida de imágenes en SAS Visual Analytics (CVE-2014-5454)
Fecha de publicación:
25/08/2014
Idioma:
Español
Vulnerabilidad de la subida de ficheros sin restricciones en el módulo de la subida de imágenes en SAS Visual Analytics 6.4M1 permite a usuarios remotos autenticados ejecutar código arbitrario mediante la subida de un fichero con una extensión ejecutable, posteriormente accediendo a ello a través de vectores no especificados.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en PrivateTunnel (Windows) y OpenVPN Connect (Windows) (CVE-2014-5455)
Fecha de publicación:
25/08/2014
Idioma:
Español
Vulnerabilidad de la ruta de búsqueda de Windows sin entrecomillar en el servicio ptservice anterior a la versión 3.0 de PrivateTunnel (Windows) y a la versión 3.1 de OpenVPN Connect (Windows) permite a los usuarios locales obtener privilegios a través de un archivo program.exe en la carpeta %SYSTEMDRIVE%.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en innovaphone PBX (CVE-2014-5335)
Fecha de publicación:
25/08/2014
Idioma:
Español
Múltiples vulnerabilidades de CSRF en innovaphone PBX 10.00 sr11 y anteriores permiten a atacantes remotos secuestrar la autenticación de administradores para solicitudes que modifican configuraciones o las cuentas de los usuarios, como fue demostrado mediante (1) el cambio de la contraseña del administrador a través de una solicitud manipulada en CMD0/mod_cmd.xml o (2) la adición de un usuarios SIP nuevo a través de una solicitud manipulada en PBX0/ADMIN/mod_cmd_login.xml.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en el controlador de los tokens MySQL en OpenStack Identity y Juno (CVE-2014-5251)
Fecha de publicación:
25/08/2014
Idioma:
Español
El controlador de los tokens MySQL en OpenStack Identity (Keystone) 2014.1.x anterior a 2014.1.2.1 y Juno anterior a Juno-3 almacena las marcas del tiempo (timestamps) con la precisión incorrecta, lo que causa que falle la comparación de la caducidad para los tokens y permite a usuarios remotos autenticados conservar el acceso a través de un token caducado.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en la API V3 en OpenStack Identity y Juno (CVE-2014-5252)
Fecha de publicación:
25/08/2014
Idioma:
Español
La API V3 en OpenStack Identity (Keystone) 2014.1.x anterior a 2014.1.2.1 y Juno anterior a Juno-3 actualiza el valor issued_at para los tokens UUID v2, loque permite a usuarios remotos autenticados evadir la caducidad de tokens y conservar el acceso a través de una solicitud (1) GET o (2) HEAD de verificación en v3/auth/tokens/.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en OpenStack Identity y Juno (CVE-2014-5253)
Fecha de publicación:
25/08/2014
Idioma:
Español
OpenStack Identity (Keystone) 2014.1.x anterior a 2014.1.2.1 y Juno anterior a Juno-3 no revoca debidamente los tokens cuando un dominio está invalidado, lo que permite a usuarios remotos autenticados conservar el acceso a través de un token 'domain-scoped' para este dominio.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025
Suscribirse a Vulnerabilidades