Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Roundcube (CVE-2023-46267)

Fecha de publicación:
20/10/2023
Idioma:
Español
Roundcube anterior a 1.4.15, 1.5.x anterior a 1.5.5 y 1.6.x anterior a 1.6.4 permiten XSS a través de un mensaje de correo electrónico de texto/html que contiene una imagen SVG con un elemento USE. Esto está relacionado con wash_uri en rcube_washtml.php.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2022-4531

Fecha de publicación:
20/10/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not a valid vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en AI ChatBot para WordPress (CVE-2023-5646)

Fecha de publicación:
20/10/2023
Idioma:
Español
AI ChatBot para WordPress es vulnerable a Directory Traversal en la versión 4.9.2 a través de la función qcld_openai_upload_pagetraining_file. Esto permite a atacantes a nivel de suscriptor agregar "
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/01/2024

Vulnerabilidad en AI ChatBot para WordPress (CVE-2023-5647)

Fecha de publicación:
20/10/2023
Idioma:
Español
El complemento AI ChatBot para WordPress es vulnerable a la eliminación arbitraria de archivos en la versión 4.9.2. Esto hace posible que atacantes autenticados con privilegios de suscriptor eliminen archivos arbitrarios en el servidor, lo que hace posible hacerse cargo de los sitios afectados, así como de otros que comparten la misma cuenta de alojamiento. Esta vulnerabilidad es la misma que CVE-2023-5212 pero se reintrodujo accidentalmente en la versión 4.9.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/01/2024

Vulnerabilidad en AI ChatBot para WordPress (CVE-2023-5655)

Fecha de publicación:
20/10/2023
Idioma:
Español
El complemento AI ChatBot para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en la versión 4.9.2. Esto se debe a una validación nonce faltante o incorrecta en las funciones correspondientes. Esto hace posible que atacantes no autenticados invoquen esas funciones a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer click en un enlace. Esta vulnerabilidad es la misma que CVE-2023-5534, pero se reintrodujo en la versión 4.9.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2024

Vulnerabilidad en Home Assistant (CVE-2023-41893)

Fecha de publicación:
20/10/2023
Idioma:
Español
Home Assistant es una domótica de código abierto. Los análisis del equipo de auditoría confirmaron que `redirect_uri` y `client_id` se pueden modificar al iniciar sesión. En consecuencia, el parámetro de código utilizado para obtener la autenticación posterior `access_token` se enviará a la URL especificada en los parámetros antes mencionados. Dado que se permite una URL arbitraria y `homeassistant.local` representa el dominio predeterminado preferido que probablemente muchos usuarios utilizan y confían en él, un atacante podría aprovechar esta debilidad para manipular a un usuario y recuperar el acceso a la cuenta. En particular, esta estrategia de ataque es plausible si la víctima ha expuesto su Home Assistant a Internet, ya que después de adquirir el "access_token" de la víctima, el adversario necesitaría utilizarlo directamente hacia la instancia para realizar cualquier acción maliciosa pertinente. Para lograr este intento de compromiso, el atacante debe enviar un enlace con un `redirect_uri` que controla a la propia instancia de Home Assistant de la víctima. En el caso de que la víctima se autentique a través de dicho enlace, el atacante obtendría el código enviado a la URL especificada en "redirect_uri", que luego se puede aprovechar para obtener un "access_token". Es pertinente que un atacante pueda aumentar la eficacia de esta estrategia registrando un dominio casi idéntico a "homeassistant.local", que a primera vista puede parecer legítimo y, por lo tanto, ocultar cualquier intención maliciosa. Este problema se solucionó en la versión 2023.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2023

Vulnerabilidad en Home Assistant (CVE-2023-41894)

Fecha de publicación:
20/10/2023
Idioma:
Español
Home Assistant es una domótica de código abierto. La evaluación verificó que los webhooks disponibles en el componente webhook se pueden activar a través de la URL `*.ui.nabu.casa` sin autenticación, incluso cuando el webhook está marcado como Solo accesible desde la red local. Este problema se ve facilitado por el proxy SniTun, que establece la dirección de origen en 127.0.0.1 en todas las solicitudes enviadas a la URL pública y reenviadas al Home Assistant local. Este problema se solucionó en la versión 2023.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2023

Vulnerabilidad en Tauri (CVE-2023-46115)

Fecha de publicación:
20/10/2023
Idioma:
Español
Tauri es un framework para crear archivos binarios para las principales plataformas de escritorio. Este aviso no describe una vulnerabilidad en el código base de Tauri en sí, sino una configuración incorrecta de uso común que podría provocar la filtración de la clave privada y la contraseña de la clave de actualización en aplicaciones Tauri empaquetadas que utilizan la interfaz Vite en una configuración específica. La documentación de Tauri utilizó una configuración de ejemplo insegura en "Vite guide" para mostrar cómo usar Tauri junto con Vite. Copiar el siguiente fragmento `envPrefix: ['VITE_', 'TAURI_'],` de esta guía en `vite.config.ts` de un proyecto Tauri lleva a agrupar `TAURI_PRIVATE_KEY` y `TAURI_KEY_PASSWORD` en el código de interfaz de Vite y por lo tanto filtrar este valor a la aplicación Tauri lanzada. El uso de `envPrefix: ['VITE_'],` o cualquier otro marco que no sea Vite significa que este aviso no lo afecta. Se recomienda a los usuarios que roten su clave privada de actualización si se ven afectados por esto (requiere Tauri CLI >=1.5.5). Después de actualizar la configuración de envPrefix, genere una nueva clave privada con `tauri signer generate`, guarde la nueva clave privada y actualice el valor `pubkey` del actualizador en `tauri.conf.json` con la nueva clave pública. Para actualizar su aplicación existente, la siguiente compilación de la aplicación debe firmarse con la clave privada anterior para que la aplicación existente la acepte.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2023

Vulnerabilidad en Kaibutsunosato v13.6.1 (CVE-2023-39731)

Fecha de publicación:
20/10/2023
Idioma:
Español
La filtración del secreto del cliente en Kaibutsunosato v13.6.1 permite a los atacantes obtener el token de acceso al canal y enviar mensajes de difusión manipulados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2024

Vulnerabilidad en Home Assistant (CVE-2023-41895)

Fecha de publicación:
19/10/2023
Idioma:
Español
Home Assistant es una domótica de código abierto. La página de inicio de sesión de Home Assistant permite a los usuarios utilizar sus credenciales locales de Home Assistant e iniciar sesión en otro sitio web que especifique los parámetros `redirect_uri` y `client_id`. Aunque la validación de `redirect_uri` generalmente garantiza que coincide con `client_id` y el esquema representa `http` o `https`, Home Assistant buscará `client_id` y buscará `` Etiquetas HTML en la página. Estas URL no están sujetas a la misma validación de esquema y, por lo tanto, permiten la ejecución arbitraria de JavaScript en la página de administración de Home Assistant mediante el uso de URI de esquema `javascript:`. Esta vulnerabilidad de Cross-Site Scripting (XSS) se puede ejecutar en el dominio frontend de Home Assistant, que puede usarse para tomar el control completo de la cuenta e instalación de Home Assistant. Este problema se solucionó en la versión 2023.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/10/2023

Vulnerabilidad en Home Assistant (CVE-2023-41896)

Fecha de publicación:
19/10/2023
Idioma:
Español
Home Assistant es una domótica de código abierto. Mientras auditaba el código de la interfaz para identificar parámetros ocultos, Cure53 detectó `auth_callback=1`, que es aprovechado por la lógica de autenticación de WebSocket junto con el parámetro `state`. El parámetro de estado contiene `hassUrl`, que posteriormente se utiliza para establecer una conexión WebSocket. Este comportamiento permite a un atacante crear un enlace malicioso de Home Assistant con un parámetro de estado modificado que obliga al frontend a conectarse a un backend WebSocket alternativo. De ahora en adelante, el atacante puede falsificar cualquier respuesta de WebSocket y activar Cross-Site Scripting (XSS). Dado que XSS se ejecuta en el dominio frontend real de Home Assistant, puede conectarse al backend real de Home Assistant, lo que esencialmente representa un escenario de adquisición integral. Permitir que el sitio tenga un iframe de otros orígenes, como se analiza en GHSA-935v-rmg9-44mw, hace que este exploit sea sustancialmente encubierto, ya que un sitio web malicioso puede ofuscar la estrategia de compromiso en segundo plano. Sin embargo, incluso sin esto, el atacante aún puede enviar el enlace `auth_callback` directamente al usuario víctima. Para mitigar este problema, Cure53 recomienda modificar el flujo de autenticación del código WebSocket. Una implementación óptima a este respecto no confiaría en el `hassUrl` pasado por un parámetro GET. Cure53 debe estipular el importante tiempo requerido por los consultores de Cure53 para identificar un vector XSS, a pesar de tener control total sobre las respuestas de WebSocket. En muchas áreas, los datos del WebSocket se sanitizaron adecuadamente, lo que dificulta su posterior explotación. El equipo de auditoría finalmente detectó el `js_url` para paneles personalizados, aunque en general, la interfaz mostró un refuerzo de seguridad razonable. Este problema se solucionó en la versión 2023.8.0 de Home Assistant Core y en el paquete npm home-assistant-js-websocket en la versión 8.2.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/10/2023

Vulnerabilidad en Home Assistant (CVE-2023-41897)

Fecha de publicación:
19/10/2023
Idioma:
Español
Home Assistant es una domótica de código abierto. El servidor Home Assistant no establece ningún encabezado de seguridad HTTP, incluido el encabezado X-Frame-Options, que especifica si se permite que la página web este enmarcada. La omisión de este y los encabezados correlacionados facilita los ataques encubiertos de clickjacking y oportunidades de explotación alternativas, como el vector descrito en este aviso de seguridad. Esta falla conlleva un riesgo importante, considerando la capacidad de engañar a los usuarios para que instalen un complemento externo y malicioso con una interacción mínima del usuario, lo que permitiría Remote Code Execution (RCE) dentro de la aplicación Home Assistant. Este problema se solucionó en la versión 2023.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/10/2023