Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2023-3333
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Special Elements used in an OS Command vulnerability in NEC Corporation Aterm WG2600HP2, WG2600HP, WG2200HP, WG1800HP2, WG1800HP, WG1400HP, WG600HP, WG300HP, WF300HP, WR9500N, WR9300N, WR8750N, WR8700N, WR8600N, WR8370N, WR8175N and WR8170N all versions allows a attacker to execute an arbitrary OS command with the root privilege, after obtaining a high privilege exploiting CVE-2023-3330 and CVE-2023-3331 vulnerabilities.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/07/2023

CVE-2023-3427
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Salon Booking System plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 8.4.6. This is due to missing or incorrect nonce validation on the 'save_customer' function. This makes it possible for unauthenticated attackers to change the admin role to customer or change the user meta to arbitrary values via a forged request, granted they can trick a site administrator into performing an action such as clicking on a link.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

CVE-2023-3327
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2023-35823. Reason: This candidate is a reservation duplicate of CVE-2023-35823. Notes: All CVE users should reference CVE-2023-35823 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2023-25002
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** A maliciously crafted SKP file in Autodesk products is used to trigger use-after-free vulnerability. Exploitation of this vulnerability may lead to code execution.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2023

CVE-2023-25001
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** A maliciously crafted SKP file in Autodesk Navisworks 2023 and 2022 be used to trigger use-after-free vulnerability. Exploitation of this vulnerability may lead to code execution.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2023

CVE-2023-36464
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** pypdf is an open source, pure-python PDF library. In affected versions an attacker may craft a PDF which leads to an infinite loop if `__parse_content_stream` is executed. That is, for example, the case if the user extracted text from such a PDF. This issue was introduced in pull request #969 and resolved in pull request #1828. Users are advised to upgrade. Users unable to upgrade may modify the line `while peek not in (b"\r", b"\n")` in `pypdf/generic/_data_structures.py` to `while peek not in (b"\r", b"\n", b"")`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2023

CVE-2023-3436
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Xpdf 4.04 will deadlock on a PDF object stream whose "Length" field is itself in another object stream.<br /> <br />
Gravedad CVSS v3.1: BAJA
Última modificación:
06/07/2023

Vulnerabilidad en CatfishCMS (CVE-2020-18409)
Fecha de publicación:
27/06/2023
Idioma:
Español
Se ha descubierto una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en CatfishCMS v4.8.63 que permite a los atacantes obtener permisos de administrador a través de "/index.php/admin/index/modifymanage.html".
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2023

CVE-2020-18404
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in espcms version P8.18101601. There is a cross site scripting (XSS) vulnerability that allows arbitrary code to be executed via the title parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2023

CVE-2020-18414
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Stored cross site scripting (XSS) vulnerability in Chaoji CMS v2.18 that allows attackers to execute arbitrary code via /index.php?admin-master-webset.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/07/2023

CVE-2020-19902
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Directory Traversal vulnerability found in Cryptoprof WCMS v.0.3.2 allows a remote attacker to execute arbitrary code via the wex/cssjs.php parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/07/2023

CVE-2023-36463
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Meldekarten generator is an open source project to create a program, running locally in the browser without the need for an internet-connection, to create, store and print registration cards for volunteers. All text fields on the webpage are vulnerable to XSS attacks. The user input isn&amp;#39;t (fully) sanitized after submission. This issue has been addressed in commit `77e04f4af` which is included in the `1.0.0b1.1.2` release. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2023
Suscribirse a Vulnerabilidades