Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2006-0648

Fecha de publicación:

13/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** Multiple directory traversal vulnerabilities in PHP iCalendar 2.0.1, 2.1, and 2.2 allow remote attackers to include arbitrary files via the (1) getdate and possibly other parameters used in the replace_files function in search.php and (2) $file variable as used in the parse function in functions/template.php.

Gravedad CVSS v2.0: MEDIA

Última modificación:

03/04/2025

CVE-2006-0650

Fecha de publicación:

13/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** Cross-site scripting (XSS) vulnerability in cpaint2.inc.php in the CPAINT library before 2.0.3, as used in multiple scripts, allows remote attackers to inject arbitrary web script or HTML via the cpaint_response_type parameter, which is displayed in a resulting error message, as demonstrated using a hex-encoded IFRAME tag.

Gravedad CVSS v2.0: MEDIA

Última modificación:

03/04/2025

CVE-2006-0653

Fecha de publicación:

13/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** Multiple SQL injection vulnerabilities in Hinton Design phpht Topsites 1.3 allow remote attackers to execute arbitrary SQL commands via multiple vectors including the username parameter.

Gravedad CVSS v2.0: ALTA

Última modificación:

03/04/2025

CVE-2006-0654

Fecha de publicación:

13/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** check.php in Hinton Design phpht Topsites 1.3 does not validate passwords when using cookies, which allows remote attackers to bypass authentication via unspecified cookies.

Gravedad CVSS v2.0: ALTA

Última modificación:

03/04/2025

CVE-2006-0655

Fecha de publicación:

13/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** Multiple cross-site scripting (XSS) vulnerabilities in (1) link_edited.php and (2) link_added.php in Hinton Design phpht Topsites 1.3 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors.

Gravedad CVSS v2.0: MEDIA

Última modificación:

03/04/2025

CVE-2006-0660

Fecha de publicación:

13/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** Multiple directory traversal vulnerabilities in FarsiNews 2.5 and earlier allows remote attackers to (1) read arbitrary files or trigger an error message path disclosure via ".." or invalid names in the archive parameter to index.php, or (2) include arbitrary files via the template parameter to show_archives.php.

Gravedad CVSS v2.0: MEDIA

Última modificación:

03/04/2025

CVE-2006-0646

Fecha de publicación:

11/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** ld in SUSE Linux 9.1 through 10.0, and SLES 9, in certain circumstances when linking binaries, can leave an empty RPATH or RUNPATH, which allows local attackers to execute arbitrary code as other users via by running an ld-linked application from the current directory, which could contain an attacker-controlled library file.

Gravedad CVSS v2.0: MEDIA

Última modificación:

03/04/2025

CVE-2006-0645

Fecha de publicación:

10/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** Tiny ASN.1 Library (libtasn1) before 0.2.18, as used by (1) GnuTLS 1.2.x before 1.2.10 and 1.3.x before 1.3.4, and (2) GNU Shishi, allows attackers to crash the DER decoder and possibly execute arbitrary code via "out-of-bounds access" caused by invalid input, as demonstrated by the ProtoVer SSL test suite.

Gravedad CVSS v2.0: ALTA

Última modificación:

03/04/2025

CVE-2006-0631

Fecha de publicación:

10/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** CRLF injection vulnerability in mailback.pl in Erik C. Thauvin mailback allows remote attackers to use mailback as a "spam proxy" by modifying mail headers, including recipient e-mail addresses, via newline characters in the Subject field.

Gravedad CVSS v2.0: MEDIA

Última modificación:

03/04/2025

CVE-2006-0633

Fecha de publicación:

10/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** The make_password function in ipsclass.php in Invision Power Board (IPB) 2.1.4 uses random data generated from partially predictable seeds to create the authentication code that is sent by e-mail to a user with a lost password, which might make it easier for remote attackers to guess the code and change the password for an IPB account, possibly involving millions of requests.

Gravedad CVSS v2.0: MEDIA

Última modificación:

03/04/2025

CVE-2006-0628

Fecha de publicación:

10/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** myquiz.pl in Dale Ray MyQuiz 1.01 allows remote attackers to execute arbitrary commands via shell metacharacters in the URL, which are not properly handled as part of the PATH_INFO environment variable.

Gravedad CVSS v2.0: ALTA

Última modificación:

03/04/2025

CVE-2006-0629

Fecha de publicación:

10/02/2006

Idioma:

Inglés

*** Pendiente de traducción *** Unspecified vulnerability in AOL Instant Messenger (AIM) 5.9.3861 allows user-assisted remote attackers to cause a denial of service (client crash) and possibly execute arbitrary code by tricking the user into requesting Buddy Info about a long screen name, which might cause a buffer overflow.

Gravedad CVSS v2.0: MEDIA

Última modificación:

03/04/2025

Suscribirse a Vulnerabilidades