Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Squid Analysis Report Generator (Sarg) Desbordamiento de búfer basado en pila (CVE-2008-1167)

Fecha de publicación:
05/03/2008
Idioma:
Español
Desbordamiento de búfer basado en pila en una función useragent de useragent.c en Squid Analysis Report Generator (Sarg) permite a atacantes remotos ejecutar código de su elección a través una cabecera User-Agent en un servidor proxy de Squid. <br /> NOTA: algunos de estos detalles han sido obtenidos a partir de la información de terceros.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en codificador XCF de codersxcf.c en (1) ImageMagick 6.2.8-0 y (2) GraphicsMagick (también conocido como gm) 1.1.7, denegación de servicio (CVE-2008-1096)

Fecha de publicación:
05/03/2008
Idioma:
Español
La función load_tile en el codificador XCF de coders/xcf.c en (1) ImageMagick 6.2.8-0 y (2) GraphicsMagick (también conocido como gm) 1.1.7 permite a atacantes remotos asistidos por usuarios provocar una denegación de servicio (caída) o prosiblemente ejecutar código de su elección a través de un archivo .xcf manipulado que dispara una escritura en el montículo fuera de rango, posiblemente relacionada con la función ScaleCharToQuantum.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en ImageMagick 6.2.4-5 y 6.2.8-0 y (2) GraphicsMagick (también conocido como gm) 1.1.7 Desbordamiento de búfer basado en montículo (CVE-2008-1097)

Fecha de publicación:
05/03/2008
Idioma:
Español
Desbordamiento de búfer basado en montículo en la función ReadPCXImage del codificador PCX de coders/pcx.c en (1) ImageMagick 6.2.4-5 y 6.2.8-0 y (2) GraphicsMagick (también conocido como gm) 1.1.7 permite a atacantes remotos con la complicidad del usuario provocar una denegación de servicio (caída) o posiblemente ejecutar código de su elección a través del fichero .pcx que dispara una asignación incorrecta de memoria para el array scanline, provocando corrupción de memoria.<br />
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en MoinMoin 1.5.8 y anteriores, secuencias de comandos en sitios cruzados (XSS) (CVE-2008-1098)

Fecha de publicación:
05/03/2008
Idioma:
Español
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en MoinMoin 1.5.8 y anteriores permiten a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de (1) ciertas entradas procesadas por formatter/text_gedit.py (también conocido como el gui editor formatter); (2) un nombre de página, que dispara una inyección en PageEditor.py cuando la página se borra exitosamente por una víctima en una acción DeletePage; (3) el nombre de la página destino para una acción RenamePage, lo que dispara una inyección en PageEditor.py cuando un intento de cambiar el nombre de la víctima falla debido a un nombre duplicado.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en _macro_Getval en wikimacro.py de MoinMoin 1.5.8 y anteriores, lectura de páginas protegidas (CVE-2008-1099)

Fecha de publicación:
05/03/2008
Idioma:
Español
_macro_Getval en wikimacro.py de MoinMoin 1.5.8 y anteriores no hace cumplir correctamente ACLs, lo que permite a atacantes remotos leer páginas protegidas.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en OpenBSD de la v2.8 a la 4.2 (CVE-2008-1146)

Fecha de publicación:
04/03/2008
Idioma:
Español
Cierto algoritmo generador de números pseudo-aleatorios(PRNG) que usa XOR y alterna en saltos de 3-bit (también conocido com o"algoritmo X3"), usado en OpenBSD de la v2.8 a la 4.2, permite a atacantes remotos adivinar datos sensibles como los IDs de una transacción DNS, observando una secuencia de datos generada previamente. NOTA: esta cuestión puede ser aprovechado por ataques como el envenenamiento de la caché DNS contra la modificación BIND en OpenBDS.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en OpenBSD de la v3.5 a la 4.2 y NetBSD v1.6.2 a la 4.0, Envenenamiento de caché e inyección de paquetes TCP (CVE-2008-1148)

Fecha de publicación:
04/03/2008
Idioma:
Español
Cierto algoritmo generador de números pseudo-aleatorios(PRNG) que usa ADD con 0 saltos aleatorios(también conocido como "algoritmo A0"), usado en OpenBSD de la v3.5 a la 4.2 y NetBSD v1.6.2 a la 4.0, permite a atacantes remotos adivinar datos sensibles como (1)los IDs de una transacción DNS, (2)IDs de una fragmentación IP observando una secuencias generadas previamente. NOTA: este fallo puede ser aprovechado por ataques como el envenenamiento de la cachés DNS, la inyección de paquetes TCP y OS fingerprinting.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en phpMyAdmin anterior a v2.11.5, Inyecci&amp;oacute;n SQL (CVE-2008-1149)

Fecha de publicación:
04/03/2008
Idioma:
Español
phpMyAdmin anterior a la v2.11.5, accesos a $_REQUEST para obtener algún parámetro en vez de usar $_GET y $_POST, puede permitir a atacantes remotos del mismo dominio sobrescribir variables, inyectar código SQL y realizar ataques de falsificación de petición en sitios cruzados (CSRF) usando cookies manipuladas.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en OpenBSD de la v2.6 a la 3.4, Mac OS X de la v10 a a 10.5.1, FreeBSD 4.4 a la 7.0 y DragonFlyBSD 1.0 a la 1.10.1 (CVE-2008-1147)

Fecha de publicación:
04/03/2008
Idioma:
Español
Cierto algoritmo generador de números pseudo-aleatorios(PRNG) que usa XOR y alterna en saltos de 2-bit (también conocido com o"algoritmo X2"), usado en OpenBSD de la v2.6 a la 3.4, Mac OS X de la v10 a a 10.5.1, FreeBSD 4.4 a la 7.0 y DragonFlyBSD 1.0 a la 1.10.1, permite a atacantes remotos adivinar datos sensibles como los IDs de una fragmentación IP observando una secuencia generada previamente. NOTA: este fallo puede ser aprovechado por ataques como la inyección de paquetes TCP y OS fingerprinting.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en WEBrick en Ruby (CVE-2008-1145)

Fecha de publicación:
04/03/2008
Idioma:
Español
Una vulnerabilidad de salto de directorio en WEBrick en Ruby versiones 1.8 anteriores a 1.8.5-p115 y 1.8.6-p114, y versiones 1.9 hasta 1.9.0-1, cuando se ejecuta en sistemas que admiten separadores de ruta de barra invertida (\) o nombres de archivo sin distinción entre mayúsculas y minúsculas, permite a atacantes remotos acceder a archivos arbitrarios por medio de secuencias o (1) "..%5c" (barra invertida codificada) o (2) nombres de archivo que coinciden con los patrones de la opción :NondisclosureName.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en El mod_cgi en lighttpd (CVE-2008-1111)

Fecha de publicación:
04/03/2008
Idioma:
Español
El mod_cgi en lighttpd versión 1.4.18, envía el código fuente de los scripts CGI en lugar de un error 500 cuando ocurre un fallo de bifurcación, lo que podría permitir a los atacantes remotos obtener información confidencial.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en DLMFENC.sys 1.0.0.26 en DESlock+ 3.2.6 y anteriores, Denegación de servicio (CVE-2008-1138)

Fecha de publicación:
04/03/2008
Idioma:
Español
DLMFENC.sys 1.0.0.26 en DESlock+ 3.2.6 y anteriores, permite a usuarios locales causar una denegación de servicio (caída de sistema) a través de cierta petición ZERO_MEM DLMFENC_IOCTL a \\.\DLKPFSD_Device, también conocida como "Vulnerabilidad ring0 link list zero".
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025