Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

  • Utiles gratuitos
  • Formación seguridad pymes
  • Gestión de incidencias
  • Suscripción RSS/Boletines

Enlace a la red social de Facebook Enlace a la red social de Twitter Enlace al canal de Inteco-Cert en el portal de videos YouTube

Enlace al canal de Inteco-Cert en Scribd Enlace al canal de Inteco-Cert en Slideshare

Encuesta de Calidad de INTECO-CERT

  • 1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
  • 2.- ¿Dicha información le ha resultado útil / interesante? *

Vulnerabilidad gaurkotasuna

Con el objetivo de informar y advertir sobre las vulnerabilidades en los sistemas informáticos, ponemos a disposición de los usuarios del portal, una base de datos con información sobre cada una de las vulnerabilidades informáticas públicamente conocidas.

Este repositorio con más de 50.000 registros esta basada en la metabase del NVD (National Vulnerability Database) - en función de un acuerdo de colaboración – que desde Inteco traducimos al español. En ocasiones el listado mostrará vulnerabilidades que aún no han sido traducidas debido a que aparecen en el transcurso de tiempo en el que el equipo de INTECO-CERT realiza el proceso.

Mediante la suscripción RSS disponible en el título de la sección, podemos estar informados diariamente de las vulnerabilidades que han sido incorporadas.

Cada una de las vulnerabilidades enlaza a diversas fuentes de información así como a distintos parches o soluciones. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, el fabricante y típo de impacto, entre otros, con el fin de acotar los resultados.

Buscador avanzado de vulnerabilidades.

La mayor parte de la información se extrae de fuentes de prestigio en el campo de la seguridad en Tecnologías de la Información: recomendaciones del CERT, ISS X-Force, Security Focus, y boletines de seguridad de fabricantes como Microsoft. Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas.

A continuación se ofrece un listado donde consultar las últimas vulnerabilidades descubiertas, actualizado diariamente.

  • CVE-2012-0289

    Tipo: No Disponible/Otro tipo Fecha de publicación: 23/05/2012 Última modificación: 23/05/2012

    Descripción: Buffer overflow in Symantec Endpoint Protection (SEP) 11.0.600x through 11.0.710x and Symantec Network Access Control (SNAC) 11.0.600x through 11.0.710x allows local users to gain privileges, and modify data or cause a denial of service, via a crafted script.

  • CVE-2012-0294

    Tipo: No Disponible/Otro tipo Fecha de publicación: 23/05/2012 Última modificación: 23/05/2012

    Descripción: Directory traversal vulnerability in the Manager service in the management console in Symantec Endpoint Protection (SEP) 12.1 before 12.1 RU1-MP1 allows remote attackers to delete files via unspecified vectors.

  • CVE-2012-0295

    Tipo: No Disponible/Otro tipo Fecha de publicación: 23/05/2012 Última modificación: 23/05/2012

    Descripción: The Manager service in the management console in Symantec Endpoint Protection (SEP) 12.1 before 12.1 RU1-MP1 allows remote attackers to conduct file-insertion attacks and execute arbitrary code by leveraging exploitation of CVE-2012-0294.

  • CVE-2012-2369

    Tipo: No Disponible/Otro tipo Fecha de publicación: 23/05/2012 Última modificación: 23/05/2012

    Descripción: Format string vulnerability in the log_message_cb function in otr-plugin.c in the Off-the-Record Messaging (OTR) pidgin-otr plugin before 3.2.1 for Pidgin might allow remote attackers to execute arbitrary code via format string specifiers in data that generates a log message.

  • CVE-2012-2374

    Tipo: No Disponible/Otro tipo Fecha de publicación: 23/05/2012 Última modificación: 23/05/2012

    Descripción: CRLF injection vulnerability in the tornado.web.RequestHandler.set_header function in Tornado before 2.2.1 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via crafted input.

  • Vulnerabilidad en Schneider Electric Kerweb (CVE-2012-1990)

    Tipo: Secuencias de comandos en sitios cruzados - XSS Gravedad: Media Fecha de publicación: 22/05/2012 Última modificación: 23/05/2012

    Descripción: Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en Schneider Electric Kerweb de antes de v3.0.1 Y Kerwin antes de v6.0.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML a traves de (1) el parametro 'evtvariablename' en una accion evts.xml a kw.dll, (2) campos de búsqueda no especificados, o (3) campos de contenido no especificados.

  • Vulnerabilidad en MobileTrack Xelex para Android (CVE-2012-2562)

    Tipo: Validación de entrada Fecha de publicación: 22/05/2012 Última modificación: 22/05/2012

    Descripción: La aplicación MobileTrack Xelex v2.3.7 y versiones anteriores para Android no verifica el origen de los comandos SMS, lo que permite a atacantes remotos ejecutar un comando (1) LOCATE, (2) TRACK, (3) UPDATECFG, (4) UPDATEACCT, (5) STAT, (6) PLAZO, o (7) WIPE a través de un mensaje SMS.

  • Vulnerabilidad en MobileTrack Xelex (CVE-2012-2567)

    Tipo: Revelación/Filtrado de información Gravedad: Baja Fecha de publicación: 22/05/2012 Última modificación: 23/05/2012

    Descripción: La aplicación MobileTrack Xelex v2.3.7 y versiones anteriores para Android utiliza credenciales definidas en el código fuente (hardcoded), lo que permite a atacantes remotos obtener información sensible a través de una sesión (1) FTP no cifrada o (2) HTTP no cifrada.

  • Vulnerabilidad en wp-login.php en el plugin login-with-ajax para wordpress (CVE-2012-2759)

    Tipo: Secuencias de comandos en sitios cruzados - XSS Gravedad: Media Fecha de publicación: 22/05/2012 Última modificación: 23/05/2012

    Descripción: Una vulnerabilidad de ejecución de comandos en sitios cruzados(XSS) en el plugin "Login With Ajax" (tambien conocido como login-with-ajax) antes de v3.0.4.1 para WordPress permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro 'callback' en una acción lostpassword a wp-login.php.

  • Vulnerabilidad en Atlassian JIRA y otros (CVE-2012-2926)

    Tipo: Error en la gestión de recursos Gravedad: Media Fecha de publicación: 22/05/2012 Última modificación: 23/05/2012

    Descripción: Atlassian JIRA antes de v5.0.1; Confluence antes de v3.5.16, v4.0 antes de v4.0.7, y v4.1 antes del v4.1.10; 'FishEye and Crucible' antes de v2.5.8, v2.6 antes de v2.6.8, y v2.7 antes de v2.7.12; Bamboo antes de v3.3.4 y v3.4.x antes de v3.4.5, y Crowd antes de v2.0.9, v2.1 antes de v2.1.2, v2.2 antes de v2.2.9, v2.3 antes de v2.3.7 y v2.4 antes de v2.4.1 no restringen correctamente las capacidades de los analizadores XML de de terceros, lo que permite leer ficheros de su elección o causar una denegación de servicio (por excesivo consumo de recursos) a atacantes remotos a través de vectores no especificados.

Aurrekoa 1 2 3 4 5 6 7 8 ... 5065

En colaboración con NVD National Vulnerability Database - NIST