Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en URI.decode_www_form_component en Ruby (CVE-2014-6438)
Fecha de publicación:
06/09/2017
Idioma:
Español
El método URI.decode_www_form_component en versiones de Ruby anteriores a la 1.9.2-p330 permite que atacantes remotos provoquen una denegación de servicio (expresión regular catastrófica, consumo de recursos o bloqueo de la aplicación) utilizando un string manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Audit en Linux (CVE-2015-5186)
Fecha de publicación:
06/09/2017
Idioma:
Español
Audit, en versiones anteriores a la 2.4.4 en Linux, no sanitiza caracteres escapados en nombres de archivos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en devscripts (CVE-2015-5705)
Fecha de publicación:
06/09/2017
Idioma:
Español
Una vulnerabilidad de inyección de argumentos en versiones anteriores a la 2.15.7 de devscripts permite a atacantes escribir en archivos arbitrarios utilizando un enlace simbólico y un nombre de archivo manipulados.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en simple-php-captcha (CVE-2015-6250)
Fecha de publicación:
06/09/2017
Idioma:
Español
simple-php-captcha antes del commit con ID 9d65a945029c7be7bb6bc893759e74c5636be694 permite a atacantes remotos generar automáticamente la respuesta de captcha, ejecutando el mismo código en el lado del cliente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Epicor CRS Retail Store (CVE-2015-2210)
Fecha de publicación:
06/09/2017
Idioma:
Español
La ventana de ayuda en versiones de Epicor CRS Retail Store anteriores a la 3.2.03.01.008 permite que usuarios locales ejecuten código arbitrario inyectando JavaScript en el origen de la ventana para crear un botón que genere un intérprete de comandos.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en SAP Netweaver (CVE-2015-7241)
Fecha de publicación:
06/09/2017
Idioma:
Español
Existe una vulnerabilidad de tipo XML External Entity (XEE) en versiones de SAP Netweaver anteriores a la 7.01.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en Tinfoil Devise-two-factor (CVE-2015-7225)
Fecha de publicación:
06/09/2017
Idioma:
Español
Tinfoil Devise-two-factor, en versiones anteriores a la 2.0.0, no sigue de manera estricta la sección 5.2 de la norma RFC 6238 y no "consume" una contraseña de un solo uso (también llamada OTP) correctamente validada. Esto permite que atacantes remotos o que se encuentren físicamente cerca inicien sesión como un usuario utilizando sus credenciales de acceso. Esto se llevaría a cabo realizando un ataque Man-in-the-Middle (MitM) entre el proveedor y el verificador u observando físicamente (lo que se conoce como shoulder surfing) y repitiendo la contraseña OTP en el intervalo de tiempo actual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en bkr/server/widgets.py en Beaker (CVE-2015-3162)
Fecha de publicación:
06/09/2017
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el diálogo de comentarios de edición en bkr/server/widgets.py en la versión 20.1 de Beaker permite que usuarios remotos autenticados inyecten scripts web o HTML arbitrarios escribiendo un comentario manipulado en una tarea cancelada en la que se confirma que se ha entregado o no correctamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en SuiteCRM (CVE-2015-5947)
Fecha de publicación:
06/09/2017
Idioma:
Español
SuiteCRM, en versiones anteriores a la 7.2.3, permite que atacantes remotos ejecuten código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en svn-workbench (CVE-2015-0853)
Fecha de publicación:
06/09/2017
Idioma:
Español
svn-workbench en su versión 1.6.2 y anteriores en sistemas con xeyes instalado permite que usuarios locales ejecuten comandos arbitrarios utilizando el elemento de menú "Command Shell" en el directorio mitrunk/$(xeyes).
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Beaker (CVE-2015-3163)
Fecha de publicación:
06/09/2017
Idioma:
Español
Las páginas de administrador para tipos de poderes y de claves en versiones de Beaker anteriores a la 20.1 no tienen ningún control de acceso. Esto permite que atacantes remotos autenticados modifiquen tipos de poderes y tipos de claves navegando a $BEAKER/powertypes and $BEAKER/keytypes respectivamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en ReadSUNImage en coders/sun.c en GraphicsMagick (CVE-2017-14165)
Fecha de publicación:
06/09/2017
Idioma:
Español
La función ReadSUNImage en coders/sun.c en GraphicsMagick 1.3.26 presenta un error causado por una asignación de memoria excesiva, ya que depende solo de un campo longitud en una cabecera. Esto puede dar lugar a una denegación de servicio remota en la función MagickMalloc en magick/memory.c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades