Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2023-4543

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was found in IBOS OA 4.5.5. It has been declared as critical. This vulnerability affects unknown code of the file ?r=recruit/contact/export&contactids=x. The manipulation leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-238048. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

17/05/2024

CVE-2023-39291

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in the Connect Mobility Router component of MiVoice Connect through 9.6.2304.102 could allow an authenticated attacker with elevated privileges to conduct an information disclosure attack due to improper configuration. A successful exploit could allow an attacker to view system information.

Gravedad CVSS v3.1: MEDIA

Última modificación:

29/08/2023

CVE-2023-39290

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in the Edge Gateway component of Mitel MiVoice Connect through R19.3 SP3 (22.24.5800.0) could allow an authenticated attacker with elevated privileges to conduct an information disclosure attack due to improper configuration. A successful exploit could allow an attacker to view system information.

Gravedad CVSS v3.1: MEDIA

Última modificación:

31/08/2023

CVE-2023-4524

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: CVE reject in favor of CVE-2023-40547

Gravedad: Pendiente de análisis

Última modificación:

07/11/2023

CVE-2023-4542

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was found in D-Link DAR-8000-10 up to 20230809. It has been classified as critical. This affects an unknown part of the file /app/sys1.php. The manipulation of the argument cmd with the input id leads to os command injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-238047. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

17/05/2024

CVE-2023-41121

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** Array AG OS before 9.4.0.499 allows denial of service: remote attackers can cause system service processes to crash through abnormal HTTP operations.

Gravedad CVSS v3.1: ALTA

Última modificación:

02/10/2024

CVE-2023-39288

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in the Connect Mobility Router component of Mitel MiVoice Connect through 9.6.2304.102 could allow an authenticated attacker with elevated privileges and internal network access to conduct a command argument injection due to insufficient parameter sanitization. A successful exploit could allow an attacker to access network information and to generate excessive network traffic.

Gravedad CVSS v3.1: MEDIA

Última modificación:

31/08/2023

CVE-2023-39287

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in the Edge Gateway component of Mitel MiVoice Connect through 19.3 SP3 (22.24.5800.0) could allow an authenticated attacker with elevated privileges and internal network access to conduct a command argument injection due to insufficient parameter sanitization. A successful exploit could allow an attacker to access network information and to generate excessive network traffic.

Gravedad CVSS v3.1: MEDIA

Última modificación:

31/08/2023

CVE-2023-39289

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in the Connect Mobility Router component of Mitel MiVoice Connect through 9.6.2208.101 could allow an unauthenticated attacker to conduct an account enumeration attack due to improper configuration. A successful exploit could allow an attacker to access system information.

Gravedad CVSS v3.1: ALTA

Última modificación:

02/10/2024

CVE-2023-34723

Fecha de publicación:

25/08/2023

Idioma:

Inglés

*** Pendiente de traducción *** An issue was discovered in TechView LA-5570 Wireless Gateway 1.0.19_T53, allows attackers to gain sensitive information via /config/system.conf.

Gravedad CVSS v3.1: ALTA

Última modificación:

08/09/2023

Vulnerabilidad en Apache Tomcat (CVE-2023-41080)

Fecha de publicación:

25/08/2023

Idioma:

Español

Vulnerabilidad de redirección de URL a sitio no fiable (&#39;Open Redirect&#39;) en la función de autenticación FORM de Apache Tomcat. Este problema afecta a Apache Tomcat: de 11.0.0-M1 a 11.0.0-M10, de 10.1.0-M1 a 10.0.12, de 9.0.0-M1 a 9.0.79 y de 8.5.0 a 8.5.92. La vulnerabilidad se limita a la aplicación web ROOT (por defecto).<br />

Gravedad CVSS v3.1: MEDIA

Última modificación:

07/08/2025

Vulnerabilidad en Python Pyramid (CVE-2023-40587)

Fecha de publicación:

25/08/2023

Idioma:

Español

Pyramid es un framework web de Python de código abierto. Una vulnerabilidad de Path Traversal en las versiones 2.0.0 y 2.0.1 de Pyramid afecta a los usuarios de Python 3.11 que utilizan una vista estática de Pyramid con una ruta completa del sistema de archivos y tienen un archivo `index.html` que se encuentra exactamente un directorio encima de la ubicación de la ruta del sistema de archivos de la vista estática. No existe ningún otro Path Traversal y el único archivo que podría revelarse accidentalmente es `index.html`. La versión 2.0.2 de Pyramid rechaza cualquier ruta que contenga un byte nulo por precaución. Si bien es válido en nombres de directorios/archivos, consideraríamos un error utilizar bytes nulos al nombrar archivos/directorios. En segundo lugar, Python 3.11 y 3.12 han solucionado el problema subyacente en `os.path.normpath` para que ya no se trunque en el primer `0x00` encontrado, devolviendo el comportamiento a Python anterior a 3.11, una versión aún no publicada. Las correcciones estarán disponibles en: Python 3.12.0rc2 y 3.11.5. Algunos workarounds están disponibles. Utilice una versión de Python 3 que no se vea afectada, cambie temporalmente a la serie Python 3.10 o espere hasta que se lance Python 3.11.5 y actualice a la última versión de la serie Python 3.11.

Gravedad CVSS v3.1: MEDIA

Última modificación:

16/02/2024

Suscribirse a Vulnerabilidades