Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2023-27240
Fecha de publicación:
15/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Tenda AX3 V16.03.12.11 was discovered to contain a command injection vulnerability via the lanip parameter at /goform/AdvSetLanip.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/03/2023

CVE-2023-27239
Fecha de publicación:
15/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Tenda AX3 V16.03.12.11 was discovered to contain a stack overflow via the shareSpeed parameter at /goform/WifiGuestSet.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/02/2025

CVE-2023-27235
Fecha de publicación:
15/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** An arbitrary file upload vulnerability in the \admin\c\CommonController.php component of Jizhicms v2.4.5 allows attackers to execute arbitrary code via a crafted phtml file.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2023

CVE-2023-27234
Fecha de publicación:
15/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** A Cross-Site Request Forgery (CSRF) in /Sys/index.html of Jizhicms v2.4.5 allows attackers to arbitrarily make configuration changes within the application.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2025

CVE-2023-28371
Fecha de publicación:
15/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** In Stellarium through 1.2, attackers can write to files that are typically unintended, such as ones with absolute pathnames or .. directory traversal.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

CVE-2023-27757
Fecha de publicación:
15/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** An arbitrary file upload vulnerability in the /admin/user/uploadImg component of PerfreeBlog v3.1.1 allows attackers to execute arbitrary code via a crafted JPG file.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/03/2023

CVE-2023-1327
Fecha de publicación:
14/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Netgear RAX30 (AX2400), prior to version 1.0.6.74, was affected by an authentication bypass vulnerability, allowing an unauthenticated attacker to gain administrative access to the device's web management interface by resetting the admin password.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/03/2023

CVE-2023-26511
Fecha de publicación:
14/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** A Hard Coded Admin Credentials issue in the Web-UI Admin Panel in Propius MachineSelector 6.6.0 and 6.6.1 allows remote attackers to gain access to the admin panel Propiusadmin.php, which allows taking control of the affected system.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/02/2025

CVE-2023-27590
Fecha de publicación:
14/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rizin is a UNIX-like reverse engineering framework and command-line toolset. In version 0.5.1 and prior, converting a GDB registers profile file into a Rizin register profile can result in a stack-based buffer overflow when the `name`, `type`, or `groups` fields have longer values than expected. Users opening untrusted GDB registers files (e.g. with the `drpg` or `arpg` commands) are affected by this flaw. Commit d6196703d89c84467b600ba2692534579dc25ed4 contains a patch for this issue. As a workaround, review the GDB register profiles before loading them with `drpg`/`arpg` commands.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2023

CVE-2023-26262
Fecha de publicación:
14/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Sitecore XP/XM 10.3. As an authenticated Sitecore user, a unrestricted language file upload vulnerability exists the can lead to direct code execution on the content management (CM) server.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2025

CVE-2023-28343
Fecha de publicación:
14/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** OS command injection affects Altenergy Power Control Software C1.2.5 via shell metacharacters in the index.php/management/set_timezone timezone parameter, because of set_timezone in models/management_model.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/04/2023

CVE-2023-28144
Fecha de publicación:
14/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** KDAB Hotspot 1.3.x and 1.4.x through 1.4.1, in a non-default configuration, allows privilege escalation because of race conditions involving symlinks and elevate_perf_privileges.sh chown calls.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2025
Suscribirse a Vulnerabilidades