Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Web Content Viewer Portlet en IBM WebSphere Portal (CVE-2013-0549)
Fecha de publicación:
03/06/2013
Idioma:
Español
Vulnerabilidad Cross-site scripting (XSS) en Web Content Manager - Web Content Viewer Portlet en el servidor IBM WebSphere Portal v7.0.0.x hasta v7.0.0.2 CF22 y v8.0.0.x hasta v8.0.0.1 CF5, cuando se utiliza la API IBM Portlet, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una URL manipulada.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en IBM WebSphere Portal (CVE-2013-2950)
Fecha de publicación:
03/06/2013
Idioma:
Español
Vulnerabilidad de inyección CRLF en IBM WebSphere Portal v6.1.0.x anterior a v6.1.0.3 CF26, v6.1.5.x anterior a v6.1.5 CF26, v7.0.0.x anterior a v7.0.0.2 CF21, y v8.0.0.x hasta v8.0.0.1 CF5 cuando la sustitución home (también conocida como uri.home.substitution) esta habilitada, permite a atacantes remotos autenticados inyectar cabeceras HTTP de su elección y llevar a cabo ataques de separación de respuesta HTTP a través de vectores no especificados.
Gravedad CVSS v2.0: BAJA
Última modificación:
11/04/2025

Vulnerabilidad en wp-adminadmin.php en el complemnto GRAND FlAGallery (CVE-2013-3261)
Fecha de publicación:
01/06/2013
Idioma:
Español
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en wp-admin/admin.php en el complemnto GRAND FlAGallery anteriores a v2.72 para WordPress permite a a atacantes remotos a inyectar secuencias de comandos Web o HTML a través del parámetro s en una acción flag-manage-gallery.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Apache Tomcat (CVE-2012-3544)
Fecha de publicación:
01/06/2013
Idioma:
Español
Apache Tomcat v6.x anteriores a v6.0.37 y v7.x anteriores a v7.0.30 no gestionan de forma adecuada las extensiones troceadas, en la transferencia de trozos codificados, lo que permite a atacantes remotos a provocar una denegación de servicio mediante datos en stream.<br />
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en javaorgapachecatalinaauthenticatorFormAuthenticator.java en la autenticación en Apache Tomcat (CVE-2013-2067)
Fecha de publicación:
01/06/2013
Idioma:
Español
v6.0.21 hasta v6.0.36 y v7.x anteriores a v7.0.33 no maneja de forma adecuada las relaciones entre requisitos de autenticación y las sesiones, lo que permite a atacantes remotos a inyctar una petición en una sesión enviando esta petición durante el proceso de completado del formulario de login, es una variante del ataque de fijado de sesión.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en javaorgapachecatalinacoreAsyncContextImpl.java en Apache Tomcat (CVE-2013-2071)
Fecha de publicación:
01/06/2013
Idioma:
Español
java/org/apache/catalina/core/AsyncContextImpl.java en Apache Tomcat v7.x anteriores a v7.0.40 no gestionan de forma adecuada el lanzamiento de RuntimeException en AsyncListener en application, lo que permite a atacantes dependiendo del contexto obtener una petición de información sensible solicitada en circunstancias adecuadas por otras aplicaciones que registran, las peticiones que se procesarán.
Gravedad CVSS v2.0: BAJA
Última modificación:
11/04/2025

Vulnerabilidad en servlet EditDocument en el Frontend en Mutiny (CVE-2013-0136)
Fecha de publicación:
01/06/2013
Idioma:
Español
Múltiples vulnerabilidades en el servlet EditDocument en el Frontend en Mutiny anteriores a v5.0-1.11 permite a usuarios remotos autenticados a subir y ejecutar programas, leer ficheros o provocar una denegación de servicio (borrado o renombrado de fichero) a través del parámetro (1) uploadPath en una operación UPLOAD; paths[] en una operación (2) DELETE, (3) CUT, o (4) COPY; o el en parámetro newPath en una operación (5) CUT o (6) COPY.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en Cisco Prime Infraestructure (CVE-2013-1247)
Fecha de publicación:
31/05/2013
Idioma:
Español
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en el módulo de configuración de la red inalámbrica en Cisco Prime Infraestructure permite a atacantes remotos a inyectar secuencias de comandos web o HTML a través de una SSID que no es gestionada de forma correcta mientras se muestra la tabla de XML, también conocido como Bug ID CSCuf04356.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en El servidor TIBCO Silver Mobile (CVE-2013-3315)
Fecha de publicación:
31/05/2013
Idioma:
Español
El servidor TIBCO Silver Mobile v1.1.0 no verifica de forma adecuada el acceso al rol de administrador antes de ejecutar un comando, lo que permite a usuarios autenticados a aumentar privilegios de a través de vectores no especificados.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Zend Engine en PHP (CVE-2013-3735)
Fecha de publicación:
31/05/2013
Idioma:
Español
** EN DISPUTA ** El Zend Engine en PHP anterior a v5.4.16 RC1, y v5.5.0 anterior a RC2, no determina de forma precisa si ocurre un error del analizador sintáctica, lo que permite a atacantes dependiendo del contexto provocar una denegación de servicio (consumo de memoria y caída de la aplicación) a través de una definición de una función manipulada, como se demostró por un ataque en un entorno de alojamiento Web. NOTA: la página http://php.net/security-note.php del distribuidor dice "para situaciones críticas de seguridad debería usar seguridad a nivel de sistema operativo" ejecutando múltipls servidores, cada uno con su propia ID."
Gravedad CVSS v3.1: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en Cisco TelePresence System Software (CVE-2013-1246)
Fecha de publicación:
31/05/2013
Idioma:
Español
Cisco TelePresence System Software no gestiona de forma adecuada las sesiones t-shell inactivas, lo que permite a usuarios remotos autenticados provocar una denegación de servicio (consumo de memoria y corte de servicio) al establecer múltiples conexiones SSH, también conocido como Bug ID CSCug77610.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en widget_remove.php en el complemento Feedweb (CVE-2013-3720)
Fecha de publicación:
31/05/2013
Idioma:
Español
Vulnerabilidad de ejecuciónd de secuencias de comandos en sitios cruzados (XSS) en widget_remove.php en el complemento Feedweb anterior a v1.9 para WordPress permite a administradores autenticados a inyectar secuencias de comandos Web o HTML a través del parámetro wp_post_id.
Gravedad CVSS v2.0: BAJA
Última modificación:
11/04/2025
Suscribirse a Vulnerabilidades