Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en VK All in One Expansion Unit (CVE-2024-52268)
Fecha de publicación:
13/11/2024
Idioma:
Español
Existe una vulnerabilidad de Cross Site Scripting en las versiones de VK All in One Expansion Unit anteriores a la 9.100.1.0. Si se aprovecha esta vulnerabilidad, se puede ejecutar una secuencia de comandos arbitraria en el navegador web del usuario que accede al sitio web mediante el producto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/11/2024

Vulnerabilidad en Schneider Electric SE (CVE-2024-9409)
Fecha de publicación:
13/11/2024
Idioma:
Español
CWE-400: Existe una vulnerabilidad de consumo descontrolado de recursos que podría provocar que el dispositivo deje de responder y produzca pérdida de comunicación cuando hay una gran cantidad de paquetes IGMP en la red.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/11/2024

Vulnerabilidad en "Schneider Electric SE " (CVE-2024-8938)
Fecha de publicación:
13/11/2024
Idioma:
Español
CWE-119: Existe una vulnerabilidad de restricción inadecuada de operaciones dentro de los límites de un búfer de memoria que podría causar una posible ejecución de código arbitrario después de un ataque Man-In-The-Middle exitoso seguido del envío de una llamada de función Modbus manipulada para alterar el área de memoria involucrada en el cálculo del tamaño de la memoria.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/11/2024

Vulnerabilidad en Schneider Electric SE (CVE-2024-8937)
Fecha de publicación:
13/11/2024
Idioma:
Español
CWE-119: Existe una vulnerabilidad de restricción inadecuada de operaciones dentro de los límites de un búfer de memoria que podría provocar una posible ejecución de código arbitrario después de un ataque Man-In-The Middle exitoso seguido del envío de una llamada de función Modbus manipulada para alterar el área de memoria involucrada en el proceso de autenticación.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/11/2024

Vulnerabilidad en Schneider Electric SE (CVE-2024-8936)
Fecha de publicación:
13/11/2024
Idioma:
Español
CWE-20: Existe una vulnerabilidad de validación de entrada incorrecta que podría provocar la pérdida de confidencialidad de la memoria del controlador después de un ataque Man-In-The-Middle exitoso seguido del envío de una llamada de función Modbus manipulada para alterar la memoria.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/11/2024

Vulnerabilidad en Schneider Electric SE (CVE-2024-8935)
Fecha de publicación:
13/11/2024
Idioma:
Español
CWE-290: Existe una vulnerabilidad de omisión de autenticación por suplantación de identidad que podría provocar una denegación de servicio y pérdida de confidencialidad e integridad de los controladores al realizar un ataque Man-In-The-Middle entre el controlador y la estación de trabajo de ingeniería mientras un usuario válido está estableciendo una sesión de comunicación. Esta vulnerabilidad es inherente al algoritmo Diffie Hellman, que no protege contra ataques Man-In-The-Middle.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/11/2024

Vulnerabilidad en dom-iterator (CVE-2024-21541)
Fecha de publicación:
13/11/2024
Idioma:
Español
Todas las versiones del paquete dom-iterator son vulnerables a la ejecución de código arbitrario debido al uso del constructor Function sin una desinfección completa de la entrada. Function genera un nuevo cuerpo de función y, por lo tanto, se debe tener cuidado para garantizar que las entradas a Function no estén controladas por un atacante. Los riesgos involucrados son similares a los de permitir que la entrada controlada por un atacante llegue a eval.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/01/2025

Vulnerabilidad en User Extra Fields de WordPress (CVE-2024-11150)
Fecha de publicación:
13/11/2024
Idioma:
Español
El complemento User Extra Fields de WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función delete_tmp_uploaded_file() en todas las versiones hasta la 16.6 incluida. Esto permite que atacantes no autenticados eliminen archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código cuando se elimina el archivo correcto (como wp-config.php).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/11/2024

Vulnerabilidad en source-map-support (CVE-2024-21540)
Fecha de publicación:
13/11/2024
Idioma:
Español
Todas las versiones del paquete source-map-support son vulnerables a Directory Traversal en la función retrieveSourceMap.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/11/2024

Vulnerabilidad en Schneider Electric SE (CVE-2024-10575)
Fecha de publicación:
13/11/2024
Idioma:
Español
CWE-862: Existe una vulnerabilidad de autorización faltante que podría causar acceso no autorizado cuando se habilita en la red y potencialmente afectar los dispositivos conectados.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
19/11/2024

Vulnerabilidad en User Extra Fields de WordPress (CVE-2024-10800)
Fecha de publicación:
13/11/2024
Idioma:
Español
El complemento User Extra Fields de WordPress es vulnerable a la escalada de privilegios debido a una verificación de capacidad faltante en la función ajax_save_fields() en todas las versiones hasta la 16.6 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, agreguen campos personalizados que se puedan actualizar y luego usen la función check_and_overwrite_wp_or_woocommerce_fields para actualizar el campo wp_capabilities para que tenga privilegios de administrador.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/11/2024

Vulnerabilidad en Schneider Electric SE (CVE-2024-8933)
Fecha de publicación:
13/11/2024
Idioma:
Español
CWE-924: Existe una vulnerabilidad de aplicación inadecuada de la integridad de los mensajes durante la transmisión en un canal de comunicación que podría provocar la recuperación del hash de la contraseña, lo que podría provocar la denegación del servicio y la pérdida de confidencialidad e integridad de los controladores. Para tener éxito, el atacante debe inyectarse dentro de la red lógica mientras un usuario válido carga o descarga un archivo de proyecto en el controlador.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/11/2024
Suscribirse a Vulnerabilidades