Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Chef Automate (CVE-2023-40050)
Fecha de publicación:
31/10/2023
Idioma:
Español
Cargue el perfil a través de API o interfaz de usuario en Chef Automate antes de la versión 4.10.29 incluida utilizando el comando de verificación InSpec con un perfil creado con fines malintencionados que permite la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/11/2023

Vulnerabilidad en Turing Video Turing Edge+ EVC5FD (CVE-2023-42425)
Fecha de publicación:
31/10/2023
Idioma:
Español
Un problema en Turing Video Turing Edge+ EVC5FD v.1.38.6 permite a un atacante remoto ejecutar código arbitrario y obtener información confidencial a través de los componentes de conexión a la nube.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/11/2023

Vulnerabilidad en FOG (CVE-2023-46235)
Fecha de publicación:
31/10/2023
Idioma:
Español
FOG es un sistema gratuito de gestión de inventario, imágenes, clonación y rescate de código abierto. Antes de la versión 1.5.10.15, debido a la falta de sanitización de solicitudes en los registros, una solicitud maliciosa que contenía XSS se almacenaba en un archivo de registro. Cuando un administrador del servidor FOG iniciaba sesión y veía los registros, se analizaban como HTML y se mostraban en consecuencia. La versión 1.5.10.15 contiene un parche. Como workaround, vea los registros desde un editor de texto externo en lugar del panel.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/11/2023

Vulnerabilidad en FOG (CVE-2023-46236)
Fecha de publicación:
31/10/2023
Idioma:
Español
FOG es un sistema gratuito de gestión de inventario, imágenes, clonación y rescate de código abierto. Antes de la versión 1.5.10, una vulnerabilidad de server-side-request-forgery (SSRF) permitía a un usuario no autenticado activar una solicitud GET como servidor para un endpoint y un esquema de URL arbitrarios. Esto también permite el acceso remoto a archivos visibles para el grupo de usuarios de Apache. Otros impactos varían según la configuración del servidor. La versión 1.5.10 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/11/2023

Vulnerabilidad en FOG (CVE-2023-46237)
Fecha de publicación:
31/10/2023
Idioma:
Español
FOG es un sistema gratuito de gestión de inventario, imágenes, clonación y rescate de código abierto. Antes de la versión 1.5.10, los usuarios no autenticados podían acceder a un endpoint destinado a ofrecer capacidades de enumeración limitadas a usuarios autenticados. Esto permitió a los usuarios no autenticados descubrir archivos y sus respectivas rutas que eran visibles para el grupo de usuarios de Apache. La versión 1.5.10 contiene un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/11/2023

Vulnerabilidad en TOTOLINK A3300R (CVE-2023-46992)
Fecha de publicación:
31/10/2023
Idioma:
Español
TOTOLINK A3300R V17.0.0cu.557_B20221024 es vulnerable a un control de acceso incorrecto. Los atacantes pueden restablecer varias contraseñas críticas sin autenticación visitando páginas específicas.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2024

Vulnerabilidad en TOTOLINK A3300R (CVE-2023-46993)
Fecha de publicación:
31/10/2023
Idioma:
Español
En TOTOLINK A3300R V17.0.0cu.557_B20221024, cuando se trata de la solicitud setLedCfg, no hay verificación para el parámetro enable, lo que puede provocar la inyección de un comando.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

Vulnerabilidad en Chef InSpec (CVE-2023-42658)
Fecha de publicación:
31/10/2023
Idioma:
Español
El comando de archivo en Chef InSpec anteriores a 4.56.58 y 5.22.29 permite la ejecución de comandos locales a través de un perfil creado con fines malintencionados.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/11/2023

Vulnerabilidad en Solwin Infotech user-activity-log (CVE-2023-37966)
Fecha de publicación:
31/10/2023
Idioma:
Español
Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en el registro de actividad del usuario de Solwin Infotech user-activity-log permite la inyección SQL. Este problema afecta el registro de actividad del usuario: desde n/a hasta 1.6.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2026

Vulnerabilidad en Confluence Data Center y Server (CVE-2023-22518)
Fecha de publicación:
31/10/2023
Idioma:
Español
Todas las versiones de Confluence Data Center y Server se ven afectadas por esta vulnerabilidad no explotada. No hay ningún impacto en la confidencialidad ya que un atacante no puede filtrar ningún dato de la instancia. Los sitios de Atlassian Cloud no se ven afectados por esta vulnerabilidad. Si se accede a su sitio de Confluence a través de un dominio atlassian.net, está alojado en Atlassian y no es vulnerable a este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/10/2025

Vulnerabilidad en Atera Agent Package Availability para Windows (CVE-2023-37243)
Fecha de publicación:
31/10/2023
Idioma:
Español
El archivo C:\Windows\Temp\Agent.Package.Availability\Agent.Package.Availability.exe se inicia automáticamente como SYSTEM cuando se reinicia el sistema. Dado que la carpeta C:\Windows\Temp\Agent.Package.Availability hereda permisos de C:\Windows\Temp y Agent.Package.Availability.exe es susceptible al DLL hijacking, los usuarios estándar pueden escribir una DLL maliciosa y elevar sus privilegios.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2024

Vulnerabilidad en Database para Contact Form 7, WPforms, Elementor forms (CVE-2023-31212)
Fecha de publicación:
31/10/2023
Idioma:
Español
Neutralización Inadecuada de Elementos Especiales utilizados en una vulnerabilidad de comando SQL (&amp;#39;Inyección SQL&amp;#39;) en el CRM Perks Database para Contact Form 7, WPforms, Elementor forms contact-form-entries permite la Inyección SQL. Este problema afecta a Database para Contact Form 7, WPforms, Elementor forms: desde n/a hasta la versión 1.3.0.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2026
Suscribirse a Vulnerabilidades