Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Vark Minimum Purchase para WooCommerce (CVE-2023-30492)
Fecha de publicación:
26/10/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) Almacenada autenticada (con permisos de colaborador o superior) en el complemento Vark Minimum Purchase para WooCommerce en versiones <= 2.0.0.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2023

Vulnerabilidad en Michael Simpson Add Shortcodes Actions And Filters (CVE-2023-46072)
Fecha de publicación:
26/10/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada no autenticada en el complemento in Michael Simpson Add Shortcodes Actions And Filters en versiones <= 2.0.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/11/2023

Vulnerabilidad en Borbis Media FreshMail para WordPress (CVE-2023-46074)
Fecha de publicación:
26/10/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada no autenticada en el complemento Borbis Media FreshMail para WordPress en versiones <= 2.3.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2023

Vulnerabilidad en Mihai Iova WordPress Knowledge base & Documentation – WP Knowledgebase (CVE-2023-5802)
Fecha de publicación:
26/10/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Mihai Iova WordPress Knowledge base & Documentation – WP Knowledgebase en versiones <= 1.3.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2023

Vulnerabilidad en The Assistant WordPress (CVE-2023-5798)
Fecha de publicación:
26/10/2023
Idioma:
Español
El complemento The Assistant WordPress anterior a 1.4.4 no valida un parámetro antes de realizar una solicitud a través de wp_remote_get(), lo que podría permitir a los usuarios con un rol tan bajo como Editor realizar ataques SSRF.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en Obl.ong (CVE-2023-46754)
Fecha de publicación:
26/10/2023
Idioma:
Español
El panel de administración de Obl.ong anterior a la versión 1.1.2 permite omitir la autorización porque la función OTP de correo electrónico acepta valores numéricos arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Zephyr STM32 Crypto (CVE-2023-5139)
Fecha de publicación:
26/10/2023
Idioma:
Español
Posible vulnerabilidad de desbordamiento del búfer en la siguiente ubicación en el controlador Zephyr STM32 Crypto
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2024

Vulnerabilidad en FRRouting FRR (CVE-2023-46752)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió un problema en FRRouting FRR hasta la versión 9.0.1. Maneja mal los datos MP_REACH_NLRI con formato incorrecto, lo que provoca un bloqueo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en FRRouting FRR (CVE-2023-46753)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió un problema en FRRouting FRR hasta la versión 9.0.1. Puede ocurrir una falla para un mensaje de ACTUALIZACIÓN BGP manipulado sin atributos obligatorios, por ejemplo, uno con solo un atributo de tránsito desconocido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Clientes TLS, Beats, Elastic Agent, APM Server y Fleet Server (CVE-2023-31421)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que cuando actuaban como Clientes TLS, Beats, Elastic Agent, APM Server y Fleet Server no verificaban si el certificado del servidor es válido para la dirección IP de destino; sin embargo, aún se realiza la validación de la firma del certificado. Más específicamente, cuando el cliente está configurado para conectarse a una dirección IP (en lugar de un nombre de host), no valida los valores IP SAN del certificado del servidor con esa dirección IP y la validación del certificado falla y, por lo tanto, la conexión no se bloquea como se esperaba.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/02/2024

Vulnerabilidad en Kibana (CVE-2023-31422)
Fecha de publicación:
26/10/2023
Idioma:
Español
Elastic descubrió un problema por el cual se registra información confidencial en los registros de Kibana en caso de error. El problema afecta solo a la versión 8.10.0 de Kibana cuando se inicia sesión en el diseño JSON o cuando el diseño del patrón está configurado para registrar el patrón %meta. Elastic lanzó Kibana 8.10.1 que resuelve este problema. El objeto de error registrado en el log contiene información de solicitud, que puede incluir datos confidenciales, como credenciales de autenticación, cookies, encabezados de autorización, parámetros de consulta, rutas de solicitud y otros metadatos. Algunos ejemplos de datos confidenciales que se pueden incluir en los registros son las credenciales de cuenta para los usuarios finales de kibana_system, kibana-metricbeat o Kibana.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2023

Vulnerabilidad en FleetServer (CVE-2023-46667)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió un problema en Fleet Server en versiones >= v8.10.0 y < v8.10.3 donde los tokens de inscripción del agente se insertan en el archivo de registro del Fleet Server en texto plano. Estos tokens de inscripción podrían permitir que alguien inscriba a un agente en una política de agente y potencialmente usarlo para recuperar otros secretos en la política, incluso para Elasticsearch y servicios de terceros. Alternativamente, un actor de amenazas podría potencialmente inscribir agentes en los clústeres y enviar eventos arbitrarios a Elasticsearch.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2023
Suscribirse a Vulnerabilidades