Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-36355

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** TP-Link TL-WR940N V4 was discovered to contain a buffer overflow via the ipStart parameter at /userRpm/WanDynamicIpV6CfgRpm. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted GET request.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

04/07/2023

CVE-2023-36239

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** libming listswf 0.4.7 was discovered to contain a buffer overflow in the parseSWF_DEFINEFONTINFO() function at parser.c.

Gravedad CVSS v3.1: ALTA

Última modificación:

29/06/2023

CVE-2023-36243

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** FLVMeta v1.2.1 was discovered to contain a buffer overflow via the xml_on_metadata_tag_only function at dump_xml.c.

Gravedad CVSS v3.1: ALTA

Última modificación:

29/06/2023

CVE-2023-34923

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** XML Signature Wrapping (XSW) in SAML-based Single Sign-on feature in TOPdesk v12.10.12 allows bad actors with credentials to authenticate with the Identity Provider (IP) to impersonate any TOPdesk user via SAML Response manipulation.

Gravedad CVSS v3.1: ALTA

Última modificación:

30/06/2023

CVE-2023-34796

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** Cross site scripting (XSS) vulnerabiliy in dmarcts-report-viewer dashboard versions 1.1 and thru commit 8a1d882b4c481a05e296e9b38a7961e912146a0f, allows unauthenticated attackers to execute arbitrary code via the org_name or domain values.

Gravedad CVSS v3.1: MEDIA

Última modificación:

30/06/2023

CVE-2023-2611

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** Advantech R-SeeNet versions 2.4.22 is installed with a hidden root-level user that is not available in the users list. This hidden user has a password that cannot be changed by users.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

28/06/2023

CVE-2023-3256

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** Advantech R-SeeNet versions 2.4.22 allows low-level users to access and load the content of local files.

Gravedad CVSS v3.1: ALTA

Última modificación:

28/06/2023

CVE-2023-3326

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** pam_krb5 authenticates a user by essentially running kinit with the password, getting a ticket-granting ticket (tgt) from the Kerberos KDC (Key Distribution Center) over the network, as a way to verify the password. However, if a keytab is not provisioned on the system, pam_krb5 has no way to validate the response from the KDC, and essentially trusts the tgt provided over the network as being valid. In a non-default FreeBSD installation that leverages pam_krb5 for authentication and does not have a keytab provisioned, an attacker that is able to control both the password and the KDC responses can return a valid tgt, allowing authentication to occur for any user on the system.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

01/08/2023

CVE-2023-34028

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in realmag777 WOLF – WordPress Posts Bulk Editor and Manager Professional plugin

Gravedad CVSS v3.1: ALTA

Última modificación:

28/06/2023

CVE-2023-34170

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in WP Overnight Quick/Bulk Order Form for WooCommerce plugin

Gravedad CVSS v3.1: MEDIA

Última modificación:

28/06/2023

CVE-2023-36093

Fecha de publicación:

22/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** There is a storage type cross site scripting (XSS) vulnerability in the filing number of the Basic Information tab on the backend management page of EyouCMS v1.6.3

Gravedad CVSS v3.1: MEDIA

Última modificación:

28/06/2023