- | Accueil
- Sécurité
- INTECO-CERT
- Actualidad_fr
- Vulnérabilités
Actualité Vulnérabilités
Con el objetivo de informar y advertir sobre las vulnerabilidades en los sistemas informáticos, ponemos a disposición de los usuarios del portal, una base de datos con información sobre cada una de las vulnerabilidades informáticas públicamente conocidas.
Este repositorio con más de 50.000 registros esta basada en la metabase del NVD (National Vulnerability Database) - en función de un acuerdo de colaboración – que desde Inteco traducimos al español. En ocasiones el listado mostrará vulnerabilidades que aún no han sido traducidas debido a que aparecen en el transcurso de tiempo en el que el equipo de INTECO-CERT realiza el proceso.
Mediante la suscripción RSS disponible en el título de la sección, podemos estar informados diariamente de las vulnerabilidades que han sido incorporadas.
Cada una de las vulnerabilidades enlaza a diversas fuentes de información así como a distintos parches o soluciones. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, el fabricante y típo de impacto, entre otros, con el fin de acotar los resultados.
Buscador avanzado de vulnerabilidades.
La mayor parte de la información se extrae de fuentes de prestigio en el campo de la seguridad en Tecnologías de la Información: recomendaciones del CERT, ISS X-Force, Security Focus, y boletines de seguridad de fabricantes como Microsoft. Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas.
A continuación se ofrece un listado donde consultar las últimas vulnerabilidades descubiertas, actualizado diariamente.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: Buffer overflow in Symantec Endpoint Protection (SEP) 11.0.600x through 11.0.710x and Symantec Network Access Control (SNAC) 11.0.600x through 11.0.710x allows local users to gain privileges, and modify data or cause a denial of service, via a crafted script.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: Directory traversal vulnerability in the Manager service in the management console in Symantec Endpoint Protection (SEP) 12.1 before 12.1 RU1-MP1 allows remote attackers to delete files via unspecified vectors.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: The Manager service in the management console in Symantec Endpoint Protection (SEP) 12.1 before 12.1 RU1-MP1 allows remote attackers to conduct file-insertion attacks and execute arbitrary code by leveraging exploitation of CVE-2012-0294.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: Format string vulnerability in the log_message_cb function in otr-plugin.c in the Off-the-Record Messaging (OTR) pidgin-otr plugin before 3.2.1 for Pidgin might allow remote attackers to execute arbitrary code via format string specifiers in data that generates a log message.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: CRLF injection vulnerability in the tornado.web.RequestHandler.set_header function in Tornado before 2.2.1 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via crafted input.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: GR Board (aka grboard) 1.8.6.5 Community Edition does not require authentication for certain database actions, which allows remote attackers to modify or delete data via a request to (1) mod_rewrite.php, (2) comment_write_ok.php, (3) poll/index.php, (4) update/index.php, (5) trackback.php, or (6) an arbitrary poll.php script under theme/.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: Multiple SQL injection vulnerabilities in GR Board (aka grboard) 1.8.6.5 Community Edition allow remote attackers to execute arbitrary SQL commands via the (1) tableType or (2) blindTarget parameter to view.php, (3) the delTargets[0] parameter to view_memo.php, or (4) the isReported parameter to write_ok.php.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: The file-upload implementation in rfc1867.c in PHP before 5.4.0 does not properly handle invalid [ (open square bracket) characters in name values, which makes it easier for remote attackers to cause a denial of service (malformed $_FILES indexes) or conduct directory traversal attacks during multi-file uploads by leveraging a script that lacks its own filename restrictions.
-
Tipo:
No Disponible/Otro tipo
Fecha de publicación: 23/05/2012
Última modificación: 23/05/2012
Descripción: The Network Threat Protection module in the Manager component in Symantec Endpoint Protection (SEP) 11.0.600x through 11.0.700x on Windows Server 2003 allows remote attackers to cause a denial of service (web-server outage, or daemon crash or hang) via a flood of packets that triggers automated blocking of network traffic.
-
Vulnerabilidad en Schneider Electric Kerweb (CVE-2012-1990)
Tipo: Secuencias de comandos en sitios cruzados - XSS Gravedad: Media Fecha de publicación: 22/05/2012 Última modificación: 23/05/2012Descripción: Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en Schneider Electric Kerweb de antes de v3.0.1 Y Kerwin antes de v6.0.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML a traves de (1) el parametro 'evtvariablename' en una accion evts.xml a kw.dll, (2) campos de búsqueda no especificados, o (3) campos de contenido no especificados.
En colaboración con NVD
