Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en XWiki Platform (CVE-2023-37914)
Fecha de publicación:
17/08/2023
Idioma:
Español
XWiki Platform es una plataforma wiki genérica que ofrece servicios en tiempo de ejecución para aplicaciones construidas sobre ella. Cualquier usuario que pueda ver `Invitation.WebHome` puede ejecutar macros de script arbitrarias incluyendo macros Groovy y Python que permiten la ejecución remota de código incluyendo acceso de lectura y escritura sin restricciones a todos los contenidos del wiki. Esta vulnerabilidad ha sido parcheada en XWiki 14.4.8, 15.2-rc-1, y 14.10.6. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden aplicar manualmente el parche en `Invitation.InvitationCommon` e `Invitation.InvitationConfig`, pero por lo demás no hay soluciones conocidas para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2023

Vulnerabilidad en Lenovo Universal Device Client (UDC) (CVE-2023-3078)
Fecha de publicación:
17/08/2023
Idioma:
Español
Una vulnerabilidad de ruta de búsqueda no controlada en el Lenovo Universal Device Client (UDC) que podría permitir a un atacante con acceso local ejecutar código con privilegios elevados.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/08/2023

Vulnerabilidad en el controlador SystemUserMasterHddPwdDxe de productos portátiles de Lenovo (CVE-2023-4028)
Fecha de publicación:
17/08/2023
Idioma:
Español
Se ha identificado un desbordamiento de búfer en el controlador SystemUserMasterHddPwdDxe de algunos productos portátiles de Lenovo que puede permitir a un atacante con acceso local y privilegios elevados ejecutar código arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2023

Vulnerabilidad en el controlador BoardUpdateAcpiDxe de productos ThinkPad de Lenovo (CVE-2023-4029)
Fecha de publicación:
17/08/2023
Idioma:
Español
Se ha identificado un desbordamiento de búfer en el controlador BoardUpdateAcpiDxe de algunos productos ThinkPad de Lenovo que puede permitir a un atacante con acceso local y privilegios elevados ejecutar código arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2023

Vulnerabilidad en BIOS (CVE-2023-4030)
Fecha de publicación:
17/08/2023
Idioma:
Español
Se ha reportado una vulnerabilidad en BIOS en ThinkPad P14s Gen 2, P15s Gen 2, T14 Gen 2, y T15 Gen 2 que podría hacer que el sistema se recupere en configuraciones inseguras si el BIOS se corrompe.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2023

Vulnerabilidad en el contrador SetupUtility de productos portátiles de Lenovo (CVE-2023-34419)
Fecha de publicación:
17/08/2023
Idioma:
Español
Se ha identificado un desbordamiento de búfer en el controlador SetupUtility de algunos productos portátiles de Lenovo los cuales podrían permitir a un atacante con acceso local y privilegios elevados ejecutar código arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2023

CVE-2023-2914
Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Rockwell Automation Thinmanager Thinserver is impacted by an improper input validation vulnerability, an integer overflow condition exists in the affected products. When the ThinManager processes incoming messages, a read access violation occurs and terminates the process. A malicious user could exploit this vulnerability by sending a crafted synchronization protocol message and causing a denial of service condition in the software.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2023

CVE-2023-2915
Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Rockwell Automation Thinmanager Thinserver is impacted by an improper input validation vulnerability, Due to improper input validation, a path traversal vulnerability exists when the ThinManager software processes a certain function. If exploited, an unauthenticated remote threat actor can delete arbitrary files with system privileges. A malicious user could exploit this vulnerability by sending a specifically crafted synchronization protocol message resulting in a denial-of-service condition.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/08/2023

CVE-2023-2917
Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Rockwell Automation Thinmanager Thinserver is impacted by an improper input validation vulnerability.  Due to an improper input validation, a path traversal vulnerability exists, via the filename field, when the ThinManager processes a certain function. If exploited, an unauthenticated remote attacker can upload arbitrary files to any directory on the disk drive where ThinServer.exe is installed.  A malicious user could exploit this vulnerability by sending a crafted synchronization protocol message and potentially gain remote code execution abilities.<br /> <br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/08/2023

CVE-2023-28693
Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Unauth. Reflected Cross-Site Scripting (XSS) vulnerability in Balasaheb Bhise Advanced Youtube Channel Pagination plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/08/2023

CVE-2023-28783
Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (shop manager+) Stored Cross-Site Scripting (XSS) vulnerability in PHPRADAR Woocommerce Tip/Donation plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/08/2023

CVE-2023-31079
Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (contributor+) Stored Cross-Site Scripting (XSS) vulnerability in Chris Roberts Tippy plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/08/2023
Suscribirse a Vulnerabilidades