Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la gema extlib para Ruby (CVE-2013-1802)
Fecha de publicación:
09/04/2013
Idioma:
Español
La gema extlib 0.9.15 y anteriores para Ruby no restringe adecuadamente las conversiones de los valores de cadena, lo que podría permitir a atacantes remotos llevar a cabo ataques de inyección de objetos y la ejecución de código arbitrario o provocar incluso una denegación de servicio (consumo de memoria y CPU), aprovechando el soporte Action PAck para (1) los conversores de tipo YALM o (2) los conversores de tipo Symbol. Vulnerabilidad similar a CVE-2013-0156.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en la gema nori para Ruby (CVE-2013-0285)
Fecha de publicación:
09/04/2013
Idioma:
Español
La gema nori v2.0.x anterior a v2.0.2, v1.1.x anterior a v1.1.4, y v1.0.x anterior a v1.0.3 para Ruby no restringe adecuadamente el "casting" de las variables de tipo cadena, lo que permite a atacantes remotos llevar a cabo ataques de inyección de objetos y la ejecución de código arbitrario o provocar una denegación de servicio (consumo de memoria y CPU) involucrando a referencias de entidades XML anidadas, aprovechando el soporte de Action Pack para loo tipos de conversion (1) YAML o (2) Symbol, una vulnerabilidad similar a CVE-2013-0156.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en la gema omniauth-oauth2 para Ruby (CVE-2012-6134)
Fecha de publicación:
09/04/2013
Idioma:
Español
Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en la gema omniauth-oauth2 v1.1.1 y anteriores para Ruby permite a atacantes remotos secuestrar la autenticación de usuarios para las peticiones que alternan los estados de sesión.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Apache Maven (CVE-2013-0253)
Fecha de publicación:
09/04/2013
Idioma:
Español
La configuración por defecto de Apache Maven v3.0.4, cuando se usa Maven Wagon v2.1 deshabilita los controles de certificado SSL, lo que permite a atacantes remotos suplantar a servidoresa través de ataques Man-in-the-middle (MITM).
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en GlusterFS (CVE-2012-5635)
Fecha de publicación:
09/04/2013
Idioma:
Español
La funcionalidad GlusterFS en Red Hat Storage Management Console v2.0, Native Client, Server 2.0 permite a usuarios locales sobreescribir archivos arbitrarios mediante un ataque de enlaces simbólicos en varios archivos temporales creados por (1) tests/volume.rc, (2) extras/hook- scripts/S30samba-stop.sh, y posiblemente otros vectores, la vulnerabilidad diferente a CVE-2012-4417.
Gravedad CVSS v2.0: BAJA
Última modificación:
11/04/2025

Vulnerabilidad en AirDroid (CVE-2013-0134)
Fecha de publicación:
09/04/2013
Idioma:
Español
Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la interfaz web que permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de mensajes de texto manipulados por que es transmitida por un teléfono gestionado.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en PHP Address Book (CVE-2013-2778)
Fecha de publicación:
09/04/2013
Idioma:
Español
Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en addressbook/register/delete_user.php en PHP Address Book v8.2.5 permite a atacantes remotos secuestrar la autenticación de los administradores en las peticiones de eliminación de cuentas, una vulnerabilidad diferente a CVE-2013-0135.1.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en PHP Address Book (CVE-2013-0135)
Fecha de publicación:
09/04/2013
Idioma:
Español
Múltiples vulnerabilidades de inyección SQL en PHP Address Book v8.2.5 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro id en (1) addressbook/register/delete_user.php, (2) addressbook/register/edit_user.php, o (3) addressbook/register/edit_user_save.php; el parámetro email en (4) addressbook/register/edit_user_save.php, (5) addressbook/register/reset_password.php, (6) addressbook/register/reset_password_save.php, o (7) addressbook/register/user_add_save.php; el parámetro username en (8) addressbook/register/checklogin.php or (9) addressbook/register/reset_password_save.php; los parámetros (10) lastname, (11) firstname, (12) phone, (13) permissions, o (14) notes en addressbook/register/edit_user_save.php; el parámetro (15) q en addressbook/register/admin_index.php; el parámetro (16) site en addressbook/register/linktick.php; el parámetro (17) password en addressbook/register/reset_password.php; el parámetro (18) password_hint en addressbook/register/reset_password_save.php; el parámetro (19) var en addressbook/register/traffic.php; o la cookie (20) BasicLogin en addressbook/register/router.php
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en sudo (CVE-2013-1776)
Fecha de publicación:
08/04/2013
Idioma:
Español
sudo v1.3.5 hasta v1.7.10 y v1.8.0 hasta v1.8.5, cuando la opción tty_tickets está activada, no valida correctamente el dispositivo terminal de control, lo que permite a los usuarios locales con permisos de sudo para secuestrar a la autorización de otra terminal a través de vectores relacionados con una sesión sin un dispositivo terminal de control y la conexión a una entrada estándar, salida, y descriptores de error de archivo de otros terminal. NOTA: esta es una de las tres vulnerabilidades estrechamente relacionadas con las que se asignó originalmente a CVE-2013-1776, pero se han dividido debido a las diferentes versiones afectadas.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en sudo (CVE-2013-2776)
Fecha de publicación:
08/04/2013
Idioma:
Español
sudo v1.3.5 hasta v1.7.10p5 y v1.8.0 hasta v1.8.6p6, cuando se ejecuta en sistemas sin /proc o la función sysctl con la opción tty_tickets habilitada, no valida correctamente el control de dispositivo terminal, lo que permite a los usuarios locales con permisos de sudo para secuestrar a la autorización de otra terminal a través de vectores relacionados con una sesión sin un dispositivo terminal de control y la conexión a una entrada estándar, salida, y descriptores de error de archivo de otros terminal. NOTA: esta es una de las tres vulnerabilidades estrechamente relacionadas con las que se asignó originalmente a CVE-2013-1776, pero se han dividido debido a las diferentes versiones afectadas.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en sudo (CVE-2013-2777)
Fecha de publicación:
08/04/2013
Idioma:
Español
sudo anterior a v1.7.10p5 y v1.8.x anterior a v1.8.6p6, cuando la opción tty_tickets esta habilitada, no valida correctamente el control de dispositivo terminal, que permite a los usuarios locales con permisos de sudo para secuestrar a la autorización de otra terminal a través de vectores relacionados con una sesión sin un dispositivo terminal de control y la conexión a una entrada estándar, salida, y descriptores de error de archivo de otros terminal. NOTA: esta es una de las tres vulnerabilidades estrechamente relacionadas con las que se asignó originalmente a CVE-2013-1776, pero se han dividido debido a las diferentes versiones afectadas.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en NVIDIA Stereoscopic 3D distribuido con los controladores NVIDIA (CVE-2013-0110)
Fecha de publicación:
08/04/2013
Idioma:
Español
nvSCPAPISvr.exe en el servicio del controlador NVIDIA Stereoscopic 3D, y distribuido con el controlador NVIDIA anterior a v307.78, y Release v310 anterior a v311.00, en Windows, falta el carácter "(comillas dobles) en la ruta del servicio, lo que permite a usuarios locales obtener privilegios a través de un Troyano.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025
Suscribirse a Vulnerabilidades