Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Control de acceso insuficiente a archivos en Zomplog (CVE-2007-5278)
Fecha de publicación:
08/10/2007
Idioma:
Español
Zomplog 3.8.1 y anteriores almacena información potencialmente sensible bajo la raíz web con control de acceso insuficiente, lo cual permite a atacantes remotos descargar archivos que han sido enviados por los usuarios, como se ha demostrado obteniendo un listado de directorio mediante una petición directa de /upload y después recuperando archivos individuales. NOTA: en una configuración no por defecto, el listado de directorio está denegado, pero los nombres de archivo pueden ser predecibles.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Sun Java Runtime Environment (JRE) en JDK y JRE (CVE-2007-5273)
Fecha de publicación:
08/10/2007
Idioma:
Español
En Sun Java Runtime Environment (JRE) en JDK y JRE versión 6 Update 2 y anteriores, JDK y JRE versión 5.0 Update 12 y anteriores, SDK y JRE versión 1.4.2_15 y anteriores, y SDK y JRE versión 1.3.1_20 y anteriores, cuando un servidor proxy HTTP se utiliza, permite a los atacantes remotos violar el modelo de seguridad para las conexiones salientes de un applets por medio de un ataque de reajuste de múlti-pin DNS en el que la descarga del applet depende de la resolución DNS en el servidor proxy, pero las operaciones de socket del applet dependen de la resolución DNS en máquina local, un problema diferente de CVE-2007-5274. NOTA: esto es similar a CVE-2007-5232.
Gravedad CVSS v2.0: BAJA
Última modificación:
09/04/2025

Vulnerabilidad en JavaScript en Sun Java Runtime Environment (CVE-2007-5274)
Fecha de publicación:
08/10/2007
Idioma:
Español
Sun Java Runtime Environment (JRE) en JDK y JRE versión 6 Update 2 y anteriores, JDK y JRE versión 5.0 Update 12 y anteriores, SDK y JRE versión 1.4.2_15 y anteriores, y SDK y JRE versión 1.3.1_20 y anteriores, cuando Firefox u Opera son usados, permite a los atacantes remotos violar el modelo de seguridad para las conexiones salientes de JavaScript por medio de un ataque de reconexión de DNS de múltiples pines dependiente de la API LiveConnect, en la que la descarga JavaScript depende de la resolución DNS del navegador, pero las operaciones socket de JavaScript se basan en una resolución DNS separada por una máquina virtual Java (JVM), un problema diferente al CVE-2007-5273. NOTA: este es igual al CVE-2007-5232.
Gravedad CVSS v2.0: BAJA
Última modificación:
09/04/2025

Vulnerabilidad en Denegación de Servicio en Open Phone Abstraction Library (CVE-2007-4924)
Fecha de publicación:
08/10/2007
Idioma:
Español
Open Phone Abstraction Library (opal), como la usada en (1) Ekiga anterior a 2.0.10 y (2) OpenH323 anterior a 2.2.4, permite a atacantes remotos provocar una denegación de servicio (caída) mediante una cabecera Content-Length inválida en paquetes SIP del Protocolo de Inicio de Sesión (SIP, Session Initiation Protocol), lo cual provoca que el byte \0 sea escrito en una "dirección controlada por el atacante".
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Vulnerabilidades de cadena de formato en Battlefront Dropteam (CVE-2007-5262)
Fecha de publicación:
08/10/2007
Idioma:
Español
Múltiples vulnerabilidades de cadena de formato en Battlefront Dropteam 1.3.3 y anteriores permite a atacantes remotos ejecutar código de su elección mediante especificadores de cadena de formato en los campos (1) username, (2) password, y (3) nickname en un paquete "0x01".
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Desbordamientos de búfer en Battlefront Dropteam (CVE-2007-5263)
Fecha de publicación:
08/10/2007
Idioma:
Español
Múltiples desbordamientos de búfer en Battlefront Dropteam 1.3.3 y anteriores permiten a atacantes remotos ejecutar código de su elección mediante (1) un paquete "0x5c" manipulado artesanalmente o (2) muchos números de 32 bit en un paquete "0x18", o provocar una denegación de servicio (caída) mediante (3) un paquete "0x4b" grande.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Pérdida de información de cuenta en Battlefront Dropteam (CVE-2007-5264)
Fecha de publicación:
08/10/2007
Idioma:
Español
Battlefront Dropteam 1.3.3 y anteriores envía el nombre de cuenta y la contraseña del cliente al servidor de juegos, lo cual permite a servidores de juegos maliciosos robar la información de la cuenta.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Vulnerabilidades de cadena de formato en Dawn of Time (CVE-2007-5265)
Fecha de publicación:
08/10/2007
Idioma:
Español
Múltiples vulnerabilidades de cadena de formato en websrv.cpp de Dawn of Time 1.69s beta4 y anteriores permite a atacantes remotos ejecutar código de su elección mediante especificadores de formato en los campos (1) nombre de usuario o (2) contraseña al acceder a ciertas "zonas restringidas", las cuales no son tratadas adecuadamente por las funciones (a) processWebHeader y (b) filterWebRequest.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Error de superación de límite en libpng (CVE-2007-5266)
Fecha de publicación:
08/10/2007
Idioma:
Español
Error de superación de límite (off-by-one) en el manejo de perfiles ICC en la función png_set_iCCP de pngset.c en libpng anterior a 1.0.29 beta1 y 1.2.x anterior a 1.2.21 beta1 permite a atacantes remotos provocar una denegación de servicio (caída) mediante una imagen PNG manipulada artesanalmente que provoca que el campo de nombre no termine con NULL.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Error de superación de límite en libpng (CVE-2007-5267)
Fecha de publicación:
08/10/2007
Idioma:
Español
Error de superación de límite (off-by-one) en el manejo de perfiles ICC en la función png_set_iCCP de pngset.c en libpng anterior a 1.2.22 beta1 permite a atacantes remotos provocar una denegación de servicio (caída) mediante una imagen PNG manipulada artesanalmente, debido a un parche incorrecto para CVE-2007-5266.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Denegación de Servicio en libpng (CVE-2007-5268)
Fecha de publicación:
08/10/2007
Idioma:
Español
pngrtran.c en libpng anterior a 1.0.29 y 1.2.x anterior a 1.2.21 utiliza (1) operaciones lógicas en vez de operación sobre bits y (2) comparaciones incorrectas, lo cual podría permitir a atacantes remotos provocar una denegación de servicio (caída) mediante una imagen PNG manipulada artesanalmente.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Denegación de servicio mediante imágenes PNG en libpng (CVE-2007-5269)
Fecha de publicación:
08/10/2007
Idioma:
Español
Determinados manejadores de fragmentos en libpng anterior a 1.0.29 y 1.2.x anterior a 1.2.21 permiten a atacantes remotos provocar una denegación de servicio (caída) mediante fragmentación manipulada (1) pCAL (png_handle_pCAL), (2) sCAL (png_handle_sCAL), (3) tEXt (png_push_read_tEXt), (4) iTXt (png_handle_iTXt), y (5) ztXT (png_handle_ztXt) en imágenes PNG, lo cual dispara operaciones de lectura fuera de límite.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025
Suscribirse a Vulnerabilidades