Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2005-3629

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** initscripts in Red Hat Enterprise Linux 4 does not properly handle certain environment variables when /sbin/service is executed, which allows local users with sudo permissions for /sbin/service to gain root privileges via unknown vectors.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2005-4811

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** The hugepage code (hugetlb.c) in Linux kernel 2.6, possibly 2.6.12 and 2.6.13, in certain configurations, allows local users to cause a denial of service (crash) by triggering an mmap error before a prefault, which causes an error in the unmap_hugepage_area function.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4837

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** snmp_api.c in snmpd in Net-SNMP 5.2.x before 5.2.2, 5.1.x before 5.1.3, and 5.0.x before 5.0.10.2, when running in master agentx mode, allows remote attackers to cause a denial of service (crash) by causing a particular TCP disconnect, which triggers a free of an incorrect variable, a different vulnerability than CVE-2005-2177.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2005-3340

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** The tuxpaint-import.sh script in Tux Paint (tuxpaint) 0.9.14 and earlier creates temporary files insecurely, with unknown impact and attack vectors.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2005-4347

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** The Linux 2.4 kernel patch in kernel-patch-vserver before 1.9.5.5 and 2.x before 2.3 for Debian GNU/Linux does not correctly set the "chroot barrier" with util-vserver, which allows attackers to access files on the host system that are outside of the vserver.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4591

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Heap-based buffer overflow in bogofilter 0.96.2, 0.95.2, 0.94.14, 0.94.12, and other versions from 0.93.5 to 0.96.2, when using Unicode databases, allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via "invalid input sequences" that lead to heap corruption when bogofilter or bogolexer converts character sets.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2005-4639

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Buffer overflow in the CA-driver (dst_ca.c) for TwinHan DST Frontend/Card in Linux kernel 2.6.12 and other versions before 2.6.15 allows local users to cause a denial of service (crash) and possibly execute arbitrary code by "reading more than 8 bytes into an 8 byte long array".
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4803

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** graphviz before 2.2.1 allows local users to overwrite arbitrary files via a symlink attack on temporary files. NOTE: this issue was originally associated with a different CVE identifier, CVE-2005-2965, which had been used for multiple different issues. This is the correct identifier.
Gravedad CVSS v2.0: BAJA
Última modificación:
03/04/2025

CVE-2005-4680

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Sophos Anti-Virus before 4.02, 4.5.x before 4.5.9, 4.6.x before 4.6.9, and 5.x before 5.1.4 allow remote attackers to hide arbitrary files and data via crafted ARJ archives, which are not properly scanned.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4749

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** HTTP request smuggling vulnerability in BEA WebLogic Server and WebLogic Express 8.1 SP4 and earlier, 7.0 SP6 and earlier, and 6.1 SP7 and earlier allows remote attackers to inject arbitrary HTTP headers via unspecified attack vectors.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4751

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** Multiple cross-site scripting (XSS) vulnerabilities in BEA WebLogic Server and WebLogic Express 9.0, 8.1 SP4 and earlier, 7.0 SP6 and earlier, and 6.1 SP7 and earlier allow remote attackers to inject arbitrary web script or HTML and gain administrative privileges via unknown attack vectors.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2005-4752

Fecha de publicación:
31/12/2005
Idioma:
Inglés
*** Pendiente de traducción *** BEA WebLogic Server and WebLogic Express 8.1 SP4 and earlier, and 7.0 SP6 and earlier, might allow local users to gain privileges by using the run-as deployment descriptor element to change the privileges of a web application or EJB from the Deployer security role to the Admin security role.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025