Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Múltiples inclusiones PHP remotas en Trionic Cite CMS 1.2 (CVE-2007-5271)
Fecha de publicación:
08/10/2007
Idioma:
Español
Múltiples vulnerabilidades de inclusión remota de archivo en PHP en Trionic Cite CMS 1.2 rev9 y anteriores permite a atacantes remotos ejecutar código PHP de su elección mediante un URL en el parámetro bField[bf_data] a (1) interface/editors/-custom.php o (2) interface/editors/custom.php.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Inyección SQL en Furkan Tastan Blog (CVE-2007-5272)
Fecha de publicación:
08/10/2007
Idioma:
Español
Vulnerabilidad de inyección SQL en kategori.asp de Furkan Tastan Blog permite a atacantes remotos ejecutar comandos SQL de su elección mediante el parámetro id en una acción goster del parámetro kat.
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Ataque de revinculación DNS en la extensión Adobe Macromedia Flash 9 (CVE-2007-5275)
Fecha de publicación:
08/10/2007
Idioma:
Español
La extensión Adobe Macromedia Flash 9 permite a atacantes remotos provocar que la máquina de una víctima establezca sesiones TCP con anfitriones arbitrarios mediante una película Flash (SWF), relacionada con la falta de fijación de un nombre de anfitrión con una dirección IP única después de recibir un elemento permitir-acceso-desde (allow-access-from) en un documento XML de política-de-dominio-cruzado (cross-domain-policy), y la disponibilidad de una clase Socket Flash que no utiliza las fijaciones DNS del navegador, también conocidos como ataques de revinculación DNS, un problema diferente de CVE-2002-1467 Y CVE-2007-4324.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Control de acceso insuficiente a archivos en Zomplog (CVE-2007-5278)
Fecha de publicación:
08/10/2007
Idioma:
Español
Zomplog 3.8.1 y anteriores almacena información potencialmente sensible bajo la raíz web con control de acceso insuficiente, lo cual permite a atacantes remotos descargar archivos que han sido enviados por los usuarios, como se ha demostrado obteniendo un listado de directorio mediante una petición directa de /upload y después recuperando archivos individuales. NOTA: en una configuración no por defecto, el listado de directorio está denegado, pero los nombres de archivo pueden ser predecibles.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Sun Java Runtime Environment (JRE) en JDK y JRE (CVE-2007-5273)
Fecha de publicación:
08/10/2007
Idioma:
Español
En Sun Java Runtime Environment (JRE) en JDK y JRE versión 6 Update 2 y anteriores, JDK y JRE versión 5.0 Update 12 y anteriores, SDK y JRE versión 1.4.2_15 y anteriores, y SDK y JRE versión 1.3.1_20 y anteriores, cuando un servidor proxy HTTP se utiliza, permite a los atacantes remotos violar el modelo de seguridad para las conexiones salientes de un applets por medio de un ataque de reajuste de múlti-pin DNS en el que la descarga del applet depende de la resolución DNS en el servidor proxy, pero las operaciones de socket del applet dependen de la resolución DNS en máquina local, un problema diferente de CVE-2007-5274. NOTA: esto es similar a CVE-2007-5232.
Gravedad CVSS v2.0: BAJA
Última modificación:
09/04/2025

Vulnerabilidad en JavaScript en Sun Java Runtime Environment (CVE-2007-5274)
Fecha de publicación:
08/10/2007
Idioma:
Español
Sun Java Runtime Environment (JRE) en JDK y JRE versión 6 Update 2 y anteriores, JDK y JRE versión 5.0 Update 12 y anteriores, SDK y JRE versión 1.4.2_15 y anteriores, y SDK y JRE versión 1.3.1_20 y anteriores, cuando Firefox u Opera son usados, permite a los atacantes remotos violar el modelo de seguridad para las conexiones salientes de JavaScript por medio de un ataque de reconexión de DNS de múltiples pines dependiente de la API LiveConnect, en la que la descarga JavaScript depende de la resolución DNS del navegador, pero las operaciones socket de JavaScript se basan en una resolución DNS separada por una máquina virtual Java (JVM), un problema diferente al CVE-2007-5273. NOTA: este es igual al CVE-2007-5232.
Gravedad CVSS v2.0: BAJA
Última modificación:
09/04/2025

Vulnerabilidad en Fallo en asignaciones DNS en Microsoft Internet Explorer 6 (CVE-2007-5277)
Fecha de publicación:
08/10/2007
Idioma:
Español
Microsoft Internet Explorer 6 borra asignaciones DNS fijas en conexiones fallidas a puertos TCP irrelevantes, lo cual hace más fácil para atacantes remotos llevar a cabo ataques de revinculación DNS, como ha sido demostrado por el puesto 81 en un IMG SRC, cuando la asignación DNS fija ha sido establecida por una sesión en el puesto 80, un asunto diferente que CVE-2006-4560.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Fallo en la asignación fija de DNS en Opera 9 (CVE-2007-5276)
Fecha de publicación:
08/10/2007
Idioma:
Español
Opera 9 descarta asignaciones DNS fijas basándose en conexiones fallidas a puertos TCP irrelevantes, lo cual facilita a atacantes remotos llevar a cabo ataques de revinculación DNS, como se ha demostrado mediante un URL con puerto 81 en un SRC de IMG, cuando la asignación DNS ha sido establecida para una sesión en el puerto 80.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Error de superación de límite en libpng (CVE-2007-5266)
Fecha de publicación:
08/10/2007
Idioma:
Español
Error de superación de límite (off-by-one) en el manejo de perfiles ICC en la función png_set_iCCP de pngset.c en libpng anterior a 1.0.29 beta1 y 1.2.x anterior a 1.2.21 beta1 permite a atacantes remotos provocar una denegación de servicio (caída) mediante una imagen PNG manipulada artesanalmente que provoca que el campo de nombre no termine con NULL.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Denegación de Servicio en libpng (CVE-2007-5268)
Fecha de publicación:
08/10/2007
Idioma:
Español
pngrtran.c en libpng anterior a 1.0.29 y 1.2.x anterior a 1.2.21 utiliza (1) operaciones lógicas en vez de operación sobre bits y (2) comparaciones incorrectas, lo cual podría permitir a atacantes remotos provocar una denegación de servicio (caída) mediante una imagen PNG manipulada artesanalmente.
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Denegación de Servicio en Open Phone Abstraction Library (CVE-2007-4924)
Fecha de publicación:
08/10/2007
Idioma:
Español
Open Phone Abstraction Library (opal), como la usada en (1) Ekiga anterior a 2.0.10 y (2) OpenH323 anterior a 2.2.4, permite a atacantes remotos provocar una denegación de servicio (caída) mediante una cabecera Content-Length inválida en paquetes SIP del Protocolo de Inicio de Sesión (SIP, Session Initiation Protocol), lo cual provoca que el byte \0 sea escrito en una "dirección controlada por el atacante".
Gravedad CVSS v2.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Vulnerabilidades de cadena de formato en Battlefront Dropteam (CVE-2007-5262)
Fecha de publicación:
08/10/2007
Idioma:
Español
Múltiples vulnerabilidades de cadena de formato en Battlefront Dropteam 1.3.3 y anteriores permite a atacantes remotos ejecutar código de su elección mediante especificadores de cadena de formato en los campos (1) username, (2) password, y (3) nickname en un paquete "0x01".
Gravedad CVSS v2.0: ALTA
Última modificación:
09/04/2025
Suscribirse a Vulnerabilidades