Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ESRI ArcMap y ArcGIS (CVE-2012-1661)
Fecha de publicación:
12/07/2012
Idioma:
Español
ESRI ArcMap v9 y ArcGIS v10.0.2.3200 y anteriores no pregunta a los usuarios antes de antes de ejecutar macros VBA incrustados, lo que permite a usuarios remotos con la ayuda de usuarios locales ejecutar código de su elección a través de código VBA a través de fichero de mapas (.MXD) modificados a mano.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en eXtplorer (CVE-2012-3362)
Fecha de publicación:
12/07/2012
Idioma:
Español
Una vulnerabilidad de falsificación de solicitudes en sitios cruzados(CSRF) en eXtplorer v2.1 RC3 y anteriores permite a atacantes remotos secuestrar la autentificación de los administradores para las peticiones que añaden una cuenta de administrador a través de una acción de administración adduser.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en SAML en Mahara (CVE-2012-2351)
Fecha de publicación:
12/07/2012
Idioma:
Español
La configuración por defecto del plugin auth/SAML en Mahara antes de v1.4.2 establece el atributo "Match Username to Remote Username" a falso, lo que permite falsificar usuarios de otros servidores a los servidores remotos SAML IdP utilizando el mismo nombre de usuario interno.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en arpwatch (CVE-2012-2653)
Fecha de publicación:
12/07/2012
Idioma:
Español
arpwatch v2.1a15, tal y como se usa en Red Hat, Debian, Fedora, y posiblemente otros, no libera correctamente los grupos complementarios, lo que podría permitir a un atacante obtener privilegios de superadministrador aprovechándose de otras vulnerabilidades en el demonio.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en util.c en systemd (CVE-2012-1174)
Fecha de publicación:
12/07/2012
Idioma:
Español
La función rm_rf_children en util.c en el gestor de login systemd-logind en systemd antes de v44, al salir, permite borrar archivos de su elección a los usuarios locales a través de un ataque de enlace simbólico en ficheros no especificados. Se trata de un problema relacionado con "determinados registros relacionados con la sesión de usuario."
Gravedad CVSS v2.0: BAJA
Última modificación:
11/04/2025

Vulnerabilidad en zip_open.c en libzip (CVE-2012-1163)
Fecha de publicación:
12/07/2012
Idioma:
Español
Un desbordamiento de entero en la función _zip_readcdir en zip_open.c en libzip v0.10 permite a atacantes remotos ejecutar código de su elección a través del tamaño y los valores de desplazamiento para el directorio central en un archivo zip, lo que provoca "restricciones indebidas de las operaciones dentro de los límites de un búfer de memoria" y una fuga de información.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en _zip_readcdir en zip_open.c (CVE-2012-1162)
Fecha de publicación:
12/07/2012
Idioma:
Español
Un desbordamiento de entero en la función _zip_readcdir en zip_open.c en libzip v0.10 permite a atacantes remotos causar una denegación de servicio (caida de la aplicación) y posiblemente ejecutar código de su elección através de un archivo ZIP con el numero de directorios puesto a 0. Se trata de un problema relacionado con un "bucle incorrecto en un constructor".
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en popup.php en GLPI (CVE-2012-1037)
Fecha de publicación:
12/07/2012
Idioma:
Español
Una vulnerabilidad de inclusión remota de fichero PHP en front/popup.php en GLPI v0.78 a v0.80.61 permite ejecutar código PHP de su elección a usuarios remotos autenticados a través de una URL en el parámetro sub_type.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Framework Tryton (CVE-2012-0215)
Fecha de publicación:
12/07/2012
Idioma:
Español
model/modelstorage.py en el framework Tryton (trytond) anterior a v2.4.0 para Python no restringe correcteamente el acceso a el campo Many2Many en el modelo relacional, lo cual permite a usuarios remotos autenticados modificar los privilegios de usuarios arbitrarios mediante una llamada rpc (1) create, (2) write, (3) delete, or (4) copy.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en RTG (CVE-2012-3881)
Fecha de publicación:
12/07/2012
Idioma:
Español
Múltiples vulnerabilidades de inyección SQL en RTG v0.7.4 y RTG2 v0.9.2, permite a atacantes remotos ejecutar comandos SQL de su elección a través de parámetros no especificados para (1) 95.php, (2) view.php, o (3) rtg.php.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025

Vulnerabilidad en TikiWiki CMSGroupware (CVE-2012-3996)
Fecha de publicación:
12/07/2012
Idioma:
Español
TikiWiki CMS/Groupware v8.3 y anteriores permite a atacantes remotos obtener la ruta de instalación mediante una peticion a (1) admin/include_calendar.php, (2) tiki-rss_error.php, o (3) tiki-watershed_service.php.
Gravedad CVSS v2.0: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Apache Hadoop (CVE-2012-3376)
Fecha de publicación:
12/07/2012
Idioma:
Español
DataNodes en Apache Hadoop v2.0.0 alpha comprueba la BlockTokens de los clientes cuando Kerberos está habilitado y el DataNode ha comproabado el mismo BlockPool dos veces desde NodeName, permitiendo a clientes remotos leer bloques arbitrarios, escribir en los bloques a los que sólo tiene acceso de lectura y tener otros efectos no especificados.
Gravedad CVSS v2.0: ALTA
Última modificación:
11/04/2025
Suscribirse a Vulnerabilidades