Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Pre-School Enrollment (CVE-2023-47446)

Fecha de publicación:
15/11/2023
Idioma:
Español
Pre-School Enrollment versión 1.0 es vulnerable a Cross Site Scripting (XSS) en la página profile.php a través del parámetro de nombre completo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/11/2023

Vulnerabilidad en Schneider Electric (CVE-2023-5984)

Fecha de publicación:
15/11/2023
Idioma:
Español
Existe una vulnerabilidad CWE-494: Descarga de Código Sin Verificación de Integridad que podría permitir que se cargue firmware modificado cuando un usuario administrador autorizado comienza un procedimiento de actualización de firmware.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2023

Vulnerabilidad en Schneider Electric (CVE-2023-5985)

Fecha de publicación:
15/11/2023
Idioma:
Español
Existe una vulnerabilidad CWE-79: Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web que podría comprometer el navegador de un usuario cuando un atacante con privilegios de administrador ha modificado los valores del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2023

Vulnerabilidad en Schneider Electric (CVE-2023-5986)

Fecha de publicación:
15/11/2023
Idioma:
Español
Existe una vulnerabilidad CWE-601: Redireccionamiento de URL a un Sitio que No es de Confianza que podría causar una vulnerabilidad de openredirect que conduzca a un ataque de cross site scripting. Al proporcionar una entrada codificada en URL, los atacantes pueden hacer que la aplicación web del software se redirija al dominio elegido después de iniciar sesión correctamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2023

Vulnerabilidad en Schneider Electric (CVE-2023-5987)

Fecha de publicación:
15/11/2023
Idioma:
Español
Una vulnerabilidad CWE-79: Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web (Cross-site Scripting) que podría causar una vulnerabilidad que conduzca a una condición de Cross-Site Scripting donde los atacantes pueden hacer que el navegador de la víctima ejecute JavaScript arbitrario cuando visitan una página que contiene un payload inyectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2023

Vulnerabilidad en Schneider Electric (CVE-2023-6032)

Fecha de publicación:
15/11/2023
Idioma:
Español
Existe una vulnerabilidad CWE-22: Limitación Inadecuada de un Nombre de Ruta a un Directorio Restringido ("Path Traversal") que podría causar una enumeración del sistema de archivos y una descarga de archivos cuando un atacante navega a la Tarjeta de Administración de Red a través de HTTPS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2023

Vulnerabilidad en RT-AC87U (CVE-2023-47678)

Fecha de publicación:
15/11/2023
Idioma:
Español
Existe una vulnerabilidad de control de acceso inadecuado en todas las versiones del RT-AC87U. Un atacante puede leer o escribir archivos a los que no está previsto acceder conectándose a un dispositivo de destino a través de tftp.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/08/2024

Vulnerabilidad en ETS Soft ybc_blog (CVE-2023-43979)

Fecha de publicación:
15/11/2023
Idioma:
Español
Se descubrió que ETS Soft ybc_blog anterior a v4.4.0 contiene una vulnerabilidad de inyección SQL a través del componente Ybc_blogBlogModuleFrontController::getPosts().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2023

Vulnerabilidad en Active Design para PrestaShop (CVE-2023-47308)

Fecha de publicación:
15/11/2023
Idioma:
Español
En el módulo "Newsletter Popup PRO con código de Bono/Cupón" (newsletterpop) anterior a la versión 2.6.1 de Active Design para PrestaShop, un invitado puede realizar inyección SQL en las versiones afectadas. El método `NewsletterpopsendVerificationModuleFrontController::checkEmailSubscription()` tiene llamadas SQL sensibles que pueden ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2023

Vulnerabilidad en Nukium nkmgls (CVE-2023-47309)

Fecha de publicación:
15/11/2023
Idioma:
Español
Nukium nkmgls anterior a la versión 3.0.2 es vulnerable a Cross Site Scripting (XSS) a través de NkmGlsCheckoutModuleFrontController::displayAjaxSavePhoneMobile.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2023

Vulnerabilidad en Zoom Rooms para macOS (CVE-2023-43590)

Fecha de publicación:
15/11/2023
Idioma:
Español
El seguimiento de enlaces en Zoom Rooms para macOS anteriores a la versión 5.16.0 puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso local.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2023

Vulnerabilidad en Zoom Rooms para macOS (CVE-2023-43591)

Fecha de publicación:
15/11/2023
Idioma:
Español
Una gestión inadecuada de privilegios en Zoom Rooms para macOS anterior a la versión 5.16.0 puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso local.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2025