INTECO

INTECO-CERT
- About
- Current News
  - Virus
  - Vulnerabilities
  - Security Advisories For Technical Users
  - Security Advisories For Non-Technical Users
  - Calendario Eventos
  - Suscripciones
- Training
- Protection
- Response and Support
Show-Room for SME
Observatory
DNI Electrónico

Highlights

Vulnerabilities

Con el objetivo de informar y advertir sobre las vulnerabilidades en los sistemas informáticos, ponemos a disposición de los usuarios del portal, una base de datos con información sobre cada una de las vulnerabilidades informáticas públicamente conocidas.

Este repositorio con más de 32000 registros esta basada en la metabase del NVD (National Vulnerability Database) - en función de un acuerdo de colaboración – que desde Inteco traducimos al español. En ocasiones el listado mostrará vulnerabilidades que aún no han sido traducidas debido a que aparecen en el transcurso de tiempo en el que el equipo de INTECO-CERT realiza el proceso.

Mediante la suscripción RSS disponible en el título de la sección, podemos estar informados diariamente de las vulnerabilidades que han sido traducidas.

Cada una de las vulnerabilidades enlaza a diversas fuentes de información así como a distintos parches o soluciones. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, el fabricante y típo de impacto, entre otros, con el fin de acotar los resultados.

Buscador avanzado de vulnerabilidades.

La mayor parte de la información se extrae de fuentes de prestigio en el campo de la seguridad en Tecnologías de la Información: recomendaciones del CERT, ISS X-Force, Security Focus, y boletines de seguridad de fabricantes como Microsoft. Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas.

A continuación se ofrece un listado donde consultar las últimas vulnerabilidades descubiertas, actualizado diariamente.

Vulnerabilidad en search.php en phpDirectorySource (CVE-2009-4680)
Tipo: No Disponible/Otro tipo Gravedad: Alta Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de inyección SQL en search.php en phpDirectorySource v1.x permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro st.
Vulnerabilidad en search.php en phpDirectorySource (CVE-2009-4681)
Tipo: Secuencias de comandos en sitios cruzados - XSS Gravedad: Media Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en search.php en phpDirectorySource v1.x permite a atacantes remotos inyectar secuencias de comandos web o HTML de forma arbitraria a través del parámetro "st".
Vulnerabilidad en vote.php de GoodBad Vote (CVE-2009-4682)
Tipo: Secuencias de comandos en sitios cruzados - XSS Gravedad: Media Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en vote.php de Good/Bad Vote permite a atacantes remotos inyectar secuencias de comandos Web o HTML a través del parámetro id en una acción vote -votar-.
Vulnerabilidad en GoodBad Vote (CVE-2009-4683)
Tipo: Salto de directorio Gravedad: Alta Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de salto de directorio en vote.php en Good/Bad Vote permite a atacantes remotos incluir y ejecutar archivos locales a su elección a través de secuencias de recorrido de directorio en el parámetro id en una acción dovote. NOTA: algunos de estos detalles se obtienen a partir de información de terceros.
Vulnerabilidad en index.php en EZodiak (CVE-2009-4684)
Tipo: No Disponible/Otro tipo Gravedad: Media Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en index.php en EZodiak permite a atacantes remotos inyectar código web o HTML a través del parámetro sign.
Vulnerabilidad en celebrities.php de PHP Scripts Now Astrology (CVE-2009-4685)
Tipo: Secuencias de comandos en sitios cruzados - XSS Gravedad: Media Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en celebrities.php de PHP Scripts Now Astrology permite a atacantes remotos inyectar secuencias de comandos Web o HTML a través del parámetro day -día-.
Vulnerabilidad en account.php en phplemon AdQuick (CVE-2009-4686)
Tipo: Secuencias de comandos en sitios cruzados - XSS Gravedad: Media Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en account.php en phplemon AdQuick v2.2.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML de forma arbitraria a través del parámetro "red_url".
Vulnerabilidad en silentum_guestbook.php en Silentum Guestbook (CVE-2009-4687)
Tipo: Inyección SQL Gravedad: Alta Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de inyección SQL en silentum_guestbook.php en Silentum Guestbook v2.0.2, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "messageid".
Vulnerabilidad en PHP Shopping Cart Selling Website Script (CVE-2009-4688)
Tipo: Secuencias de comandos en sitios cruzados - XSS Gravedad: Media Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Multiple cross-site scripting (XSS) en index.php en PHP Shopping Cart Selling Website Script permiten a atacantes remotos inyectar secuencias de comandos web o HTML a través de los parámetros (1) txtkeywords y (2) cid.
Vulnerabilidad en PHP Shopping Cart Selling Website Script (CVE-2009-4689)
Tipo: Inyección SQL Gravedad: Alta Fecha de publicación: 10/03/2010 Última modificación: 11/03/2010
Descripción: Vulnerabilidad de inyección SQL en index.php en PHP Shopping Cart Selling Website Script permite a atacantes remotos ejecutar comandos SQL a través del parámetro cid.