INTECO

INTECO-CERT
- Acerca de
- Actualidad_ca
  - Virus
  - Vulnerabilitats
  - Avisos de seguridad técnicos
  - Avisos de seguridad no técnicos
  - Calendario Eventos
  - Suscripciones
- Formació
- Proteccion_ca
- Respuesta y Soporte
C. Demostrador
Observatori
DNI Electrónico

Destacats

Actualitat Vulnerabilitats

Con el objetivo de informar y advertir sobre las vulnerabilidades en los sistemas informáticos, ponemos a disposición de los usuarios del portal, una base de datos con información sobre cada una de las vulnerabilidades informáticas públicamente conocidas.

Este repositorio con más de 32000 registros esta basada en la metabase del NVD (National Vulnerability Database) - en función de un acuerdo de colaboración – que desde Inteco traducimos al español. En ocasiones el listado mostrará vulnerabilidades que aún no han sido traducidas debido a que aparecen en el transcurso de tiempo en el que el equipo de INTECO-CERT realiza el proceso.

Mediante la suscripción RSS disponible en el título de la sección, podemos estar informados diariamente de las vulnerabilidades que han sido traducidas.

Cada una de las vulnerabilidades enlaza a diversas fuentes de información así como a distintos parches o soluciones. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, el fabricante y típo de impacto, entre otros, con el fin de acotar los resultados.

Buscador avanzado de vulnerabilidades.

La mayor parte de la información se extrae de fuentes de prestigio en el campo de la seguridad en Tecnologías de la Información: recomendaciones del CERT, ISS X-Force, Security Focus, y boletines de seguridad de fabricantes como Microsoft. Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas.

A continuación se ofrece un listado donde consultar las últimas vulnerabilidades descubiertas, actualizado diariamente.

CVE-2010-0963
Tipo: No Disponible/Otro tipo Gravedad: Media Fecha de publicación: 16/03/2010 Última modificación: 16/03/2010
Descripción: Cross-site scripting (XSS) vulnerability in index.php in dl Download Ticket Service before 0.7 allows remote attackers to inject arbitrary web script or HTML via the t parameter, related to an invalid ticket ID. NOTE: some of these details are obtained from third party information.
CVE-2010-0964
Tipo: No Disponible/Otro tipo Gravedad: Alta Fecha de publicación: 16/03/2010 Última modificación: 16/03/2010
Descripción: SQL injection vulnerability in start.php in Eros Webkatalog allows remote attackers to execute arbitrary SQL commands via the id parameter in a rubrik action.
CVE-2010-0965
Tipo: No Disponible/Otro tipo Gravedad: Media Fecha de publicación: 16/03/2010 Última modificación: 16/03/2010
Descripción: Jevci Siparis Formu Scripti stores sensitive information under the web root with insufficient access control, which allows remote attackers to download a database via a direct request for siparis.mdb.
CVE-2010-0966
Tipo: No Disponible/Otro tipo Gravedad: Media Fecha de publicación: 16/03/2010 Última modificación: 17/03/2010
Descripción: PHP remote file inclusion vulnerability in inc/config.php in deV!L`z Clanportal (DZCP) 1.5.2, when register_globals is enabled, allows remote attackers to execute arbitrary PHP code via a URL in the basePath parameter.
CVE-2010-0967
Tipo: No Disponible/Otro tipo Gravedad: Media Fecha de publicación: 16/03/2010 Última modificación: 17/03/2010
Descripción: Multiple directory traversal vulnerabilities in Geekhelps ADMP 1.01, when magic_quotes_gpc is disabled, allow remote attackers to include and execute arbitrary local files via directory traversal sequences in the style parameter to (1) colorvoid/footer.php, (2) default-green/footer.php, (3) default-orange/footer.php, and (4) default/footer.php in themes/. NOTE: some of these details are obtained from third party information.
CVE-2010-0968
Tipo: No Disponible/Otro tipo Gravedad: Alta Fecha de publicación: 16/03/2010 Última modificación: 17/03/2010
Descripción: SQL injection vulnerability in bannershow.php in Geekhelps ADMP 1.01 allows remote attackers to execute arbitrary SQL commands via the click parameter.
CVE-2010-0970
Tipo: No Disponible/Otro tipo Gravedad: Alta Fecha de publicación: 16/03/2010 Última modificación: 17/03/2010
Descripción: SQL injection vulnerability in phpmylogon.php in PhpMyLogon 2 allows remote attackers to execute arbitrary SQL commands via the username parameter. NOTE: some of these details are obtained from third party information.
CVE-2010-0969
Tipo: No Disponible/Otro tipo Gravedad: Media Fecha de publicación: 16/03/2010 Última modificación: 17/03/2010
Descripción: Unbound before 1.4.3 does not properly align structures on 64-bit platforms, which allows remote attackers to cause a denial of service (daemon crash) via unspecified vectors.
CVE-2010-0971
Tipo: No Disponible/Otro tipo Gravedad: Baja Fecha de publicación: 16/03/2010 Última modificación: 17/03/2010
Descripción: Multiple cross-site scripting (XSS) vulnerabilities in ATutor 1.6.4 allow remote authenticated users, with Instructor privileges, to inject arbitrary web script or HTML via the (1) Question and (2) Choice fields in tools/polls/add.php, the (3) Type and (4) Title fields in tools/groups/create_manual.php, and the (5) Title field in assignments/add_assignment.php. NOTE: some of these details are obtained from third party information.
CVE-2010-0972
Tipo: No Disponible/Otro tipo Gravedad: Alta Fecha de publicación: 16/03/2010 Última modificación: 17/03/2010
Descripción: Directory traversal vulnerability in the GCalendar (com_gcalendar) component 2.1.5 for Joomla! allows remote attackers to include and execute arbitrary local files via a .. (dot dot) in the controller parameter to index.php.