Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2024-52313

Fecha de publicación:
09/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated data.all user is able to manipulate a getDataset query to fetch additional information regarding the parent Environment resource that the user otherwise would not able to fetch by directly querying the object via getEnvironment in data.all.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/11/2024

CVE-2024-52314

Fecha de publicación:
09/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** A data.all admin team member who has access to the customer-owned AWS Account where data.all is deployed may be able to extract user data from data.all application logs in data.all via CloudWatch log scanning for particular operations that interact with customer producer teams data.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/11/2024

CVE-2024-52311

Fecha de publicación:
09/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** Authentication tokens issued via Cognito in data.all are not invalidated on log out, allowing for previously authenticated user to continue execution of authorized API Requests until token is expired.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/11/2024

CVE-2024-52312

Fecha de publicación:
09/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** Due to inconsistent authorization permissions, data.all may allow an external actor with an authenticated account to perform restricted operations against DataSets and Environments.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/11/2024

CVE-2024-10953

Fecha de publicación:
09/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated data.all user is able to perform mutating UPDATE operations on persisted Notification records in data.all for group notifications that their user is not a member of.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/11/2024

CVE-2024-52009

Fecha de publicación:
08/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** Atlantis is a self-hosted golang application that listens for Terraform pull request events via webhooks. Atlantis logs contains GitHub credentials (tokens `ghs_...`) when they are rotated. This enables an attacker able to read these logs to impersonate Atlantis application and to perform actions on GitHub. When Atlantis is used to administer a GitHub organization, this enables getting administration privileges on the organization. This was reported in #4060 and fixed in #4667 . The fix was included in Atlantis v0.30.0. All users are advised to upgrade. There are no known workarounds for this vulnerability.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/11/2024

CVE-2024-52001

Fecha de publicación:
08/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** Combodo iTop is a simple, web based IT Service Management tool. In affected versions portal users are able to access forbidden services information. This issue has been addressed in version 3.2.0. All users are advised to upgrade. There are no known workarounds for this vulnerability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/11/2024

CVE-2024-52002

Fecha de publicación:
08/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** Combodo iTop is a simple, web based IT Service Management tool. Several url endpoints are subject to a Cross-Site Request Forgery (CSRF) vulnerability. Please refer to the linked GHSA for the complete list. This issue has been addressed in version 3.2.0 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/11/2024

CVE-2024-52004

Fecha de publicación:
08/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** MediaCMS is an open source video and media CMS, written in Python/Django and React, featuring a REST API. MediaCMS has been prone to vulnerabilities that upon special cases can lead to remote code execution. All versions before v4.1.0 are susceptible, and users are highly recommended to upgrade. The vulnerabilities are related with insufficient input validation while uploading media content. The condition to exploit the vulnerability is that the portal allows users to upload content. This issue has been patched in version 4.1.0. There are no known workarounds for this vulnerability.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/11/2024

CVE-2024-52007

Fecha de publicación:
08/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** HAPI FHIR is a complete implementation of the HL7 FHIR standard for healthcare interoperability in Java. XSLT parsing performed by various components are vulnerable to XML external entity injections. A processed XML file with a malicious DTD tag ( could produce XML containing data from the host system. This impacts use cases where org.hl7.fhir.core is being used to within a host where external clients can submit XML. This is related to GHSA-6cr6-ph3p-f5rf, in which its fix (#1571 & #1717) was incomplete. This issue has been addressed in release version 6.4.0 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/11/2024

CVE-2024-35426

Fecha de publicación:
08/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** vmir e8117 was discovered to contain a stack overflow via the init_local_vars function at /src/vmir_wasm_parser.c.
Gravedad: Pendiente de análisis
Última modificación:
08/11/2024

CVE-2024-35427

Fecha de publicación:
08/11/2024
Idioma:
Inglés
*** Pendiente de traducción *** vmir e8117 was discovered to contain a segmentation violation via the export_function function at /src/vmir_wasm_parser.c.
Gravedad: Pendiente de análisis
Última modificación:
08/11/2024