Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Vulnerabilidad de dominio cruzado en Apple Safari 3.0.2 para Windows (CVE-2007-3514)
Fecha de publicación:
03/07/2007
Idioma:
Español
Vulnerabilidad de dominio cruzado en Apple Safari para Windows 3.0.2 permite a atacantes remotos evitar la Política de Mismo Origen y acceder a información restringida de otros dominios mediante JavaScript que sobrescribe la variable document y establece el atributo document.domain estadísticamente a unalocalización file://, un vector diferente de CVE-2007-3482.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Mozilla Firefox (CVE-2007-3511)
Fecha de publicación:
03/07/2007
Idioma:
Español
El manejo del enfoque para el evento onkeydown en Mozilla Firefox versiones 1.5.0.12, 2.0.0.0.4 y otras versiones anteriores a 2.0.0.8, y SeaMonkey versiones anteriores a 1.1.5, permite a atacantes remotos cambiar el enfoque del campo y copiar las pulsaciones de teclas por medio del atributo "for" en una etiqueta, lo que omite la prevención del enfoque, tal y como es demostrado cambiando el enfoque desde un área de texto hacia un campo de carga de archivos.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Múltiples desbordamientos de búfer en unicon-imc2 3.0.4 (CVE-2007-2835)
Fecha de publicación:
03/07/2007
Idioma:
Español
Múltiples desbordamientos de búfer en (1) CCE_pinyin.c y (2) xl_pinyin.c en ImmModules/cce/ de unicon-imc2 3.0.4, como el utilizado en zhcon y otras aplicaciones, permite a usuarios locales obtener privilegios mediante una variable de entorno HOME larga.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Vulnerabilidad en GSAMBAD 0.1.4 (CVE-2007-2838)
Fecha de publicación:
03/07/2007
Idioma:
Español
La función populate_conns en src/populate_conns.c de GSAMBAD 0.1.4 permite a usuarios locales sobrescribir ficheros locales de su elección mediante un ataque de enlaces simbólicos al fichero temporal /tmp/gsambadtmp.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Múltiples vulnerabilidades de salto de directorio en QuickTalk forum 1.3 (CVE-2007-3505)
Fecha de publicación:
02/07/2007
Idioma:
Español
Múltiples vulnerabilidades de salto de directorio en QuickTalk forum 1.3 permite a atacantes remotos incluir y ejecutar ficheros locales de su elección mediante una secuencia .. (punto punto) en el parámetro lang a (1) qtf_checkname.php, (2) qtf_j_birth.php, o (3) qtf_j_exists.php.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Vulnerabilidad en FreeType 2.3.3 (CVE-2007-3506)
Fecha de publicación:
02/07/2007
Idioma:
Español
La función ft_bitmap_assure_buffer en src/base/ftbimap.c de FreeType 2.3.3 permite a atacantes remotos dependientes del contexto provocar una denegación de servicio y posiblemente ejecutar código de su elección mediante vectores no especificados que implican fuentes de mapas de bits, relacionado con "fallo de sobrescritura de memoria de búfer".
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Desbordamiento de búfer basado en pila en flac123 (CVE-2007-3507)
Fecha de publicación:
02/07/2007
Idioma:
Español
Desbordamiento de búfer basado en pila en la función local__vcentry_parse_value en vorbiscomment.c de flac123 (también conocido como flac-tools o flac) anterior a 0.0.10 permite a atacantes remotos con la complicidad del usuario ejecutar código de su elección mediante un comentario value_length largo.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Vulnerabilidad de salto de directorio en Hiki (CVE-2007-2836)
Fecha de publicación:
02/07/2007
Idioma:
Español
Vulnerabilidad de salto de directorio en session.rb en Hiki 0.8.0 hasta 0.8.6 permite a atacantes remotos borrar ficheros de su elección mediante secuencias de salto de directorio en el ID de sesión, el cual es comprobado contra una expresión regular que no es suficientemente restrictiva antes de ser usado para construir un nombre de fichero que es marcado para el borrado al finalizar la sesión.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Vulnerabilidad de acceso no autorizado en Kaspersky Anti-Spam (CVE-2007-3502)
Fecha de publicación:
30/06/2007
Idioma:
Español
Vulnerabilidad no especificada en el sistema de configuración de producto basado en web de Kaspersky Anti-Spam anterior a 3.0 MP1 permite a atacantes remotos obtener acceso a determinados directorios.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Vulnerabilidades XSS en las páginas HTML generadas con Javadoc (CVE-2007-3503)
Fecha de publicación:
30/06/2007
Idioma:
Español
La herramienta Javadoc en Sun JDK 6 y JDK 5.0 Update 11 puede generar páginas de documentación HTML que contienen vulnerabilidades de secuencias de comandos en sitios cruzados (XSS), las cuales permiten a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de vectores no especificados.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en open.php (CVE-2007-2801)
Fecha de publicación:
30/06/2007
Idioma:
Español
Varias vulnerabilidades de tipo cross-site scripting (XSS) en el archivo open.php en eTicket versiones 1.5.5 y 1.5.5.1, cuando register_globals está habilitado, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de los parámetros (1) err y (2) warn. NOTA: el proveedor cuestiona la importancia del problema, indicando que "eTicket is not designed to work with register_globals On."
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en PersistenceService en Sun Java Web Start en JDK y JRE (CVE-2007-3504)
Fecha de publicación:
30/06/2007
Idioma:
Español
Una vulnerabilidad de salto de directorio en PersistenceService en Sun Java Web Start en JDK y JRE versión 5.0 Update 11 y anteriores, y Java Web Start en SDK y JRE versión 1.4.2_13 y anteriores, para Windows, permite a atacantes remotos realizar acciones no autorizadas por medio de una aplicación que otorga privilegios de sobrescritura de archivos a sí mismo. NOTA: esto puede ser aprovechado para ejecutar código arbitrario sobrescribiendo un archivo .java.policy.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025
Suscribirse a Vulnerabilidades