Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-2058

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was found in EyouCms up to 1.6.2. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file /yxcms/index.php?r=admin/extendfield/mesedit&tabid=12&id=4 of the component HTTP POST Request Handler. The manipulation of the argument web_ico leads to cross site scripting. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-225943.

Gravedad CVSS v3.1: MEDIA

Última modificación:

17/05/2024

CVE-2023-2057

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was found in EyouCms 1.5.4. It has been classified as problematic. Affected is an unknown function of the file login.php?m=admin&c=Arctype&a=edit of the component New Picture Handler. The manipulation of the argument litpic_loca leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-225942 is the identifier assigned to this vulnerability.

Gravedad CVSS v3.1: MEDIA

Última modificación:

17/05/2024

CVE-2023-2056

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was found in DedeCMS up to 5.7.87 and classified as critical. This issue affects the function GetSystemFile of the file module_main.php. The manipulation leads to code injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-225941 was assigned to this vulnerability.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

17/05/2024

CVE-2023-29805

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** WFS-SR03 v1.0.3 was discovered to contain a command injection vulnerability via the pro_stor_canceltrans_handler_part_19 function.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

06/02/2025

CVE-2023-29804

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** WFS-SR03 v1.0.3 was discovered to contain a command injection vulnerability via the sys_smb_pwdmod function.

Gravedad CVSS v3.1: ALTA

Última modificación:

06/02/2025

CVE-2023-29803

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** TOTOLINK X18 V9.1.0cu.2024_B20220329 was discovered to contain a command injection vulnerability via the pid parameter in the disconnectVPN function.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

06/02/2025

CVE-2023-29802

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** TOTOLINK X18 V9.1.0cu.2024_B20220329 was discovered to contain a command injection vulnerability via the ip parameter in the setDiagnosisCfg function.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

06/02/2025

CVE-2023-29850

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** SENAYAN Library Management System (SLiMS) Bulian v9.5.2 does not strip exif data from uploaded images. This allows attackers to obtain information such as the user&#39;s geolocation and device information.

Gravedad CVSS v3.1: ALTA

Última modificación:

06/02/2025

CVE-2023-29799

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** TOTOLINK X18 V9.1.0cu.2024_B20220329 was discovered to contain a command injection vulnerability via the hostname parameter in the setOpModeCfg function.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

21/04/2023

CVE-2023-29798

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** TOTOLINK X18 V9.1.0cu.2024_B20220329 was discovered to contain a command injection vulnerability via the command parameter in the setTracerouteCfg function.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

06/02/2025

CVE-2022-45180

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** An issue was discovered in LIVEBOX Collaboration vDesk through v018. Broken Access Control exists under the /api/v1/vdesk_{DOMAIN]/export endpoint. A malicious user, authenticated to the product without any specific privilege, can use the API for exporting information about all users of the system (an operation intended to only be available to the system administrator).

Gravedad CVSS v3.1: MEDIA

Última modificación:

07/02/2025

CVE-2022-45178

Fecha de publicación:

14/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** An issue was discovered in LIVEBOX Collaboration vDesk through v018. Broken Access Control exists under the /api/v1/vdeskintegration/saml/user/createorupdate endpoint, the /settings/guest-settings endpoint, the /settings/samlusers-settings endpoint, and the /settings/users-settings endpoint. A malicious user (already logged in as a SAML User) is able to achieve privilege escalation from a low-privilege user (FGM user) to an administrative user (GGU user), including the administrator, or create new users even without an admin role.

Gravedad CVSS v3.1: ALTA

Última modificación:

07/02/2025

Suscribirse a Vulnerabilidades