Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función experimental HTTP/2 en Apache Traffic Server (CVE-2015-3249)
Fecha de publicación:
30/10/2017
Idioma:
Español
La función experimental HTTP/2 en Apache Traffic Server en versiones 5.3.x anteriores a la 5.3.1 permite que atacantes remotos provoquen una denegación de servicio (acceso fuera de límites y cierre inesperado del demonio) o que, posiblemente, puedan ejecutar código arbitrario mediante vectores relacionados con (1) la función array frame_handlers o (2) la función set_dynamic_table_size.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en la función aspath_put (CVE-2017-16227)
Fecha de publicación:
29/10/2017
Idioma:
Español
La función aspath_put en bgpd/bgp_aspath.c en Quagga en versiones anteriores a la 1.2.2 permite que los atacantes remotos provoquen una denegación de servicio (caída de sesión) mediante mensajes BGP Update, ya que el cálculo del tamaño de AS_PATH cuanta una serie de bytes dos veces y en consecuencia construye un menaje no válido.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Dulwich (CVE-2017-16228)
Fecha de publicación:
29/10/2017
Idioma:
Español
Dulwich en versiones anteriores a la 0.18.5, cuando se utiliza un subproceso SSH, perote que atacantes remotos ejecuten comandos arbitrarios mediante una URL ssh con un carácter guión inicial en el nombre del host. Esta vulnerabilidad está relacioada con CVE-2017-9800, CVE-2017-12836, CVE-2017-12976, CVE-2017-1000116, and CVE-2017-1000117.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en NQ Contacts Backup & Restore (CVE-2017-15997)
Fecha de publicación:
29/10/2017
Idioma:
Español
En la aplicación NQ Contacts Backup & Restore 1.1 para Android, el cifrado RC4 se emplea para proteger la contraseña de usuario almacenada localmente en las preferencias compartidas. Ya que hay una clave RC4 estática, un atacante puede obtener acceso a las credenciales de usuario accediendo al archivo de preferencias XML.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en NQ Contacts Backup & Restore (CVE-2017-15998)
Fecha de publicación:
29/10/2017
Idioma:
Español
En la aplicación NQ Contacts Backup & Restore 1.1 para Android, se utiliza el cifrado DES con una clave estática para proteger los datos de contacto transmitidos. Esto hace que sea más fácil para los atacantes remotos obtener información en texto claro rastreando la red.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en NQ Contacts Backup & Restore (CVE-2017-15999)
Fecha de publicación:
29/10/2017
Idioma:
Español
En la aplicación NQ Contacts Backup & Restore 1.1 para Android, no se utiliza HTTPS para transmitir los datos de usuario sincronizados y de inicio de sesión. A la hora de iniciar sesión, el nombre de usuario se transmite en texto claro junto con un hash SHA-1 de la contraseña. El atacante puede o bien comprometer el hash o utilizarlo para más ataques en donde solo se necesita el valor del hash.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en la interfaz web de EyesOfNetwork (CVE-2017-16000)
Fecha de publicación:
29/10/2017
Idioma:
Español
Vulnerabilidad de inyección SQL en la interfaz web de EyesOfNetwork (también conocida como eonweb) 5.1-0 permite que administradores autenticados remotos ejecuten comandos SQL arbitrarios mediante el parámetro graph en module/capacity_per_label/index.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en readelf en GNU Binutils (CVE-2017-15996)
Fecha de publicación:
29/10/2017
Idioma:
Español
elfcomm.c en readelf en GNU Binutils 2.29 permite que atacantes remotos provoquen una denegación de servicio (asignación de memoria excesiva) o, posiblemente, causen otro impacto no especificado mediante un archivo ELF manipulado que desencadene un desbordamiento de búfer en la cabecera del archivo atacado. Esto está relacionado con una variable no inicializada, un salto de condición incorrecto y con las funciones get_archive_member_name, process_archive_index_and_symbols y setup_archive.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Vastal I-Tech Dating Zone (CVE-2017-15975)
Fecha de publicación:
29/10/2017
Idioma:
Español
Vastal I-Tech Dating Zone 0.9.9 permite que se produzca inyección SQL mediante "product_id" en add_to_cart.php. Esta es una vulnerabilidad diferente de CVE-2008-4461.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en ZeeBuddy (CVE-2017-15976)
Fecha de publicación:
29/10/2017
Idioma:
Español
ZeeBuddy 2x permite que se produzca inyección SQL mediante el parámetro groupid en admin/editadgroup.php. Esta es una vulnerabilidad diferente de CVE-2008-3604.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en rsync (CVE-2017-15994)
Fecha de publicación:
29/10/2017
Idioma:
Español
rsync 3.1.3-development en versiones anteriores al 24/10/2017 gestiona de manera incorrecta las sumas de verificación arcaicas, lo que hace que sea más fácil para los atacantes remotos omitir las restricciones de acceso establecidas. NOTA: la rama de desarrollo rsync tiene un uso importante más allá de los desarrolladores rsync; por ejemplo, el código se ha copiado para su uso en varios proyectos en GitHub.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en SoftDatepro Dating Social Network (CVE-2017-15972)
Fecha de publicación:
29/10/2017
Idioma:
Español
SoftDatepro Dating Social Network 1.3 permite que se produzca inyección SQL mediante el parámetro profid en viewprofile.php, el parámetro sender_id en viewmessage.php o el campo Email en /admin. Este problema está relacionado con CVE-2017-15971.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades