Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-37490
Fecha de publicación:
08/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** SAP Business Objects Installer - versions 420, 430, allows an authenticated attacker within the network to overwrite an executable file created in a temporary directory during the installation process. On replacing this executable with a malicious file, an attacker can completely compromise the confidentiality, integrity, and availability of the system<br /> <br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/08/2023

CVE-2023-37487
Fecha de publicación:
08/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** SAP Business One (Service Layer) - version 10.0, allows an authenticated attacker with deep knowledge perform certain operation to access unintended data over the network which could lead to high impact on confidentiality with no impact on integrity and availability of the application
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/09/2024

CVE-2023-37488
Fecha de publicación:
08/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** In SAP NetWeaver Process Integration - versions SAP_XIESR 7.50, SAP_XITOOL 7.50, SAP_XIAF 7.50, user-controlled inputs, if not sufficiently encoded, could result in Cross-Site Scripting (XSS) attack. On successful exploitation the attacker can cause limited impact on confidentiality and integrity of the system.<br /> <br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/08/2023

CVE-2023-37484
Fecha de publicación:
08/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** SAP PowerDesigner - version 16.7, queries all password hashes in the backend database and compares it with the user provided one during login attempt, which might allow an attacker to access password hashes from the client&amp;#39;s memory.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2024

CVE-2023-37483
Fecha de publicación:
08/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** SAP PowerDesigner - version 16.7, has improper access control which might allow an unauthenticated attacker to run arbitrary queries against the back-end database via Proxy.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/09/2024

Vulnerabilidad en SAP Host Agent (CVE-2023-36926)
Fecha de publicación:
08/08/2023
Idioma:
Español
Debido a la falta de comprobación de autenticación en SAP Host Agent - versión 7.22, un atacante no autenticado puede establecer un parámetro no documentado a un valor de compatibilidad particular y a su vez llamar a funciones de lectura. Esto permite al atacante recopilar información no sensible sobre el servidor. No hay impacto en la integridad o disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2024

CVE-2023-37486
Fecha de publicación:
08/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Under certain conditions SAP Commerce (OCC API) - versions HY_COM 2105, HY_COM 2205, COM_CLOUD 2211, endpoints allow an attacker to access information which would otherwise be restricted. On successful exploitation there could be a high impact on confidentiality with no impact on integrity and availability of the application.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/09/2024

CVE-2023-36923
Fecha de publicación:
08/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** SAP SQLA for PowerDesigner 17 bundled with SAP PowerDesigner 16.7 SP06 PL03, allows an attacker with local access to the system, to place a malicious library, that can be executed by the application. An attacker could thereby control the behavior of the application.<br /> <br />
Gravedad CVSS v3.1: ALTA
Última modificación:
15/08/2023

CVE-2023-33993
Fecha de publicación:
08/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** B1i module of SAP Business One - version 10.0, application allows an authenticated user with deep knowledge to send crafted queries over the network to read or modify the SQL data. On successful exploitation, the attacker can cause high impact on confidentiality, integrity and availability of the application.<br /> <br />
Gravedad CVSS v3.1: ALTA
Última modificación:
15/08/2023

Vulnerabilidad en PrestaShop (CVE-2023-39530)
Fecha de publicación:
07/08/2023
Idioma:
Español
PrestaShop es una aplicación web de comercio electrónico de código abierto. Antes de la versión 8.1.1, era posible eliminar archivos del servidor a través de la API "CustomerMessage". La versión 8.1.1 contiene un parche para este problema. No hay soluciones conocidas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/08/2023

Vulnerabilidad en PrestaShop (CVE-2023-39528)
Fecha de publicación:
07/08/2023
Idioma:
Español
PrestaShop es una aplicación web de comercio electrónico de código abierto. Antes de la versión 8.1.1, el método "displayAjaxEmailHTML" puede ser utilizado para leer cualquier archivo en el servidor, potencialmente incluso fuera del proyecto si el servidor no está configurado correctamente. La versión 8.1.1 contiene un parche para este problema. No se conocen soluciones.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/08/2023

CVE-2023-39529
Fecha de publicación:
07/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** PrestaShop is an open source e-commerce web application. Prior to version 8.1.1, it is possible to delete a file from the server by using the Attachments controller and the Attachments API. Version 8.1.1 contains a patch for this issue. There are no known workarounds.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/08/2023
Suscribirse a Vulnerabilidades