Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2006-5976

Fecha de publicación:
20/11/2006
Idioma:
Español
Múltiples vulnerabilidades de inyeción SQL en admin_login.asp de BlogMe 3.0 permiten a atacantes remotos ejecutar comandos SQL de su elección a través de los campos (1) nombre de usuario (Username) o (2) contraseña (Password). NOTA: algunos de estos detalles se han obtenido de información de terceros.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

CVE-2006-5977

Fecha de publicación:
20/11/2006
Idioma:
Español
Múltiples vulnerabilidades de inyeción SQL en MultiCalendars permiten a atacantes remotos ejecutar comandos SQL de su elección a través de los parámetros (1) M o (2) Y de rss_out.asp, o el parámetro (3) cate de all_calendars.asp. NOTA: el vector all_calendars.asp/calsids ya ha sido tratado por CVE-2006-2293.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

CVE-2006-5983

Fecha de publicación:
20/11/2006
Idioma:
Español
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en JBMC Software DirectAdmin 1.28.1 permiten a usuarios remotos autenticados inyectar secuencias de comandos web o HTML de su elección a través del parámetro (1) usuario (user) de (a) CMD_SHOW_RESELLER o (b) CMD_SHOW_USER en el nivel de administrador (Admin level); el parámetro (2) TYPE de (c) CMD_TICKET_CREATE o (d) CMD_TICKET, el parámetro (3) usuario (user) de (e) CMD_EMAIL_FORWARDER_MODIFY, (g) CMD_EMAIL_VACATION_MODIFY, o (g) CMD_FTP_SHOW, y el parámetro (4) nombre (name) de (h) CMD_EMAIL_LIST en el nivel de usuario (User level); o el parámetro (5) usuario (user) de (i) CMD_SHOW_USER en el nivel de revendedor (Reseller level).
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

CVE-2006-5984

Fecha de publicación:
20/11/2006
Idioma:
Español
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Helm Web Hosting Control Panel 3.2.10 permiten a usuarios remotos autenticados inyectar secuencias de comandos web o HTML de su elección a través de los parámetros (1) txtCompanyName, (2) txtEmail, o (3) txtUserAccNum de (a) users.asp, o el parámetro (4) setThemeColour de (b) default.asp en los niveles de administrador y revendedor (Reseller and Admin Levels); o el parámetro (5) setThemeColour de default.asp en el nivel de usuario (User level). NOTA: el parámetro txtDomainName de domains.asp se trata en CVE-2006-1407, lo que sugiere que este vector está solucionado en la versión 3.2.10 estable.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

CVE-2006-5987

Fecha de publicación:
20/11/2006
Idioma:
Español
Vulnerabilidad de inyección SQL en default.asp de ASPintranet, posiblemente 1.2, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro a.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

CVE-2006-5989

Fecha de publicación:
20/11/2006
Idioma:
Español
Error de superación de límite (off-by-one) en la función der_get_oid de mod_auth_derb 5.0 permite a atacantes remotos provocar una denegación de servicio (caída) mediante un mensaje Kerberos manipulado que provoca un desbordamiento de búfer basado en montón en el array de componentes.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

CVE-2006-5988

Fecha de publicación:
20/11/2006
Idioma:
Español
Vulnerabilidad no especificada en Windows 2000 Advanced SErver SP4 ejecutando el Directorio Activo permite a atacantes remotos provocar una denegación de servicio a través de vectores no especificados, como se ha demostrado con un determinado módulo VulnDisco Pack. NOTA: la procedencia de esta información es desconocida; los detalles se han obtenido de información de terceros. A fecha de 16/11/2006, esta divulgación no tiene información relevante. No obstante, puesto que el autor del VulnDisco Pack es un investigador fiable, se le asigna un identificador CVE a la divulgación con fines de seguimiento.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

CVE-2006-5973

Fecha de publicación:
20/11/2006
Idioma:
Español
Desbordamiento de búfer (off-by-one) en Dovecot 1.0test53 hasta 1.0.rc14, y posiblemente otras versiones, cuando se utilizan los archivos de índice y mmap_disable tiene el valor "Sí", permite a usuarios IMAP o POP3 remotos autenticados provocar una denegación de servicio (caída) a través de vectores no especificados relacionados con el archivo de caché.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

CVE-2006-4413

Fecha de publicación:
18/11/2006
Idioma:
Español
Apple Remote Desktop anterior 3.1 utiliza permisos no seguros pra cietos paquetes incoporados, lo cual permite a un usuario loacl sobre el sistema de administración de Apple Remote Desktop modificar los paquetes y conseguir prinvilegios de root sobre el sistema cliente que use estos paquetes.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

CVE-2006-5972

Fecha de publicación:
18/11/2006
Idioma:
Español
Desbordamiento de búfer basado en pila en WG111v2.SYS en el adaptador wireless NetGear WG111v2 (USB) permite a un atacante remoto ejecutar código de su elección a través de una respuesta de "faro" (beacon) de 802.11
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

CVE-2006-5819

Fecha de publicación:
18/11/2006
Idioma:
Español
Verity Ultraseek anterior a 5.7 permite a un atacante remoto usar el servidor como proxy para ataques web y escaneo de host a través de respuesta directa a la secuencia de comandos highlight/index.html.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

CVE-2006-5970

Fecha de publicación:
18/11/2006
Idioma:
Español
Verity Ultraseek anterior 5.7 permite a un atacante remoto obtener información sensible a través de respuestas directas con un parámetro url terminal nulo a help/urlstatusgo.html; o parámetros que faltan en (2) help/header.html, (3) help/footer.html, (4) spell.html, (5) coreforma.html, (6) daterange.html, (7) hits.html, (8) hitsnavbottom.html, (9) indexform.html, (10) indexforma.html, (11) languages.html, (12) nohits.html, (13) onehit1.html, (14) onehit2.html, (15) query.html, (16) queryform0.html, (17) queryform0a.html, (18) queryform1.html, (19) queryform1a.html, (20) queryform2.html, (21) queryform2a.html, (22) quicklinks.html, (23) relatedtopics.html, (24) signin.html, (25) subtopics.html, (26) thesaurus.html, (27) topics.html, (28) hitspagebar.html, (29) highlight/highlight.html, (30) highlight/highlight_one.html, y (31) highlight/topnav.html,
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025