Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en craigk5n/webcalendar de GitHub (CVE-2023-0289)
Fecha de publicación:
13/01/2023
Idioma:
Español
Cross-site scripting (XSS) - almacenado en el repositorio de GitHub craigk5n/webcalendar antes del master.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2023

Vulnerabilidad en ACC de Trellix (CVE-2023-0221)
Fecha de publicación:
13/01/2023
Idioma:
Español
Una vulnerabilidad de omisión de seguridad del producto en ACC anterior a la versión 8.3.4 permite que un atacante conectado localmente con privilegios de administrador omita los controles de ejecución proporcionados por ACC utilizando el programa utilman.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en vim/vim de GitHub (CVE-2023-0288)
Fecha de publicación:
13/01/2023
Idioma:
Español
Desbordamiento de búfer basado en almacenamiento dinámico en el repositorio de GitHub vim/vim anterior a 9.0.1189.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en RSSHub (CVE-2023-22493)
Fecha de publicación:
13/01/2023
Idioma:
Español
RSSHub es un generador de fuentes RSS de código abierto. RSSHub es vulnerable a ataques de Server-Side Request Forgery (SSRF). Esta vulnerabilidad permite a un atacante enviar solicitudes HTTP arbitrarias desde el servidor a otros servidores o recursos de la red. Un atacante puede aprovechar esta vulnerabilidad enviando una solicitud a las rutas afectadas con una URL maliciosa. Un atacante también podría utilizar esta vulnerabilidad para enviar solicitudes a servidores o recursos internos o de otro tipo en la red, potencialmente obtener acceso a información confidencial a la que normalmente no sería accesible y amplificar el impacto del ataque. El parche para este problema se puede encontrar en el commit a66cbcf.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/03/2023

Vulnerabilidad en ityoukfriends-web (CVE-2023-0287)
Fecha de publicación:
13/01/2023
Idioma:
Español
Se encontró una vulnerabilidad en ityoukfriends-web. Ha sido calificada como problemática. Una función desconocida del componente Comment Handler es afectada por esta vulnerabilidad. La manipulación conduce a cross-site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-218294 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en SourceCodester Online Flight Booking Management System (CVE-2023-0281)
Fecha de publicación:
13/01/2023
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Online Flight Booking Management System. Ha sido calificada como crítica. Una función desconocida del archivo Judge_panel.php es afectada por esta vulnerabilidad. La manipulación del argumento subevent_id conduce a la inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-218276.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en SourceCodester Online Flight Booking Management System (CVE-2023-0283)
Fecha de publicación:
13/01/2023
Idioma:
Español
Se ha encontrado una vulnerabilidad en SourceCodester Online Flight Booking Management System y se ha clasificado como crítica. Una parte desconocida del archivo review_search.php del componente POST Parameter Handler es afectada por esta vulnerabilidad. La manipulación del argumento txtsearch conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-218277.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en FileOrbis File Management System de Deytek Informatics (CVE-2022-3693)
Fecha de publicación:
13/01/2023
Idioma:
Español
Vulnerabilidad de Path Traversal en FileOrbis File Management System de Deytek Informatics. Este problema afecta a FileOrbis File Management System: desde no especificado antes de 10.6.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/04/2023

Vulnerabilidad en Keycloack (CVE-2023-0105)
Fecha de publicación:
13/01/2023
Idioma:
Español
Se encontró una falla en Keycloak. Esta falla permite la suplantación y el bloqueo debido a que la confianza del correo electrónico no se maneja correctamente en Keycloak. Un atacante puede seguir a otros usuarios con el mismo correo electrónico y bloquearlos o hacerse pasar por ellos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Omniverse Kit (CVE-2022-42268)
Fecha de publicación:
13/01/2023
Idioma:
Español
Omniverse Kit contiene una vulnerabilidad en las aplicaciones de referencia Create, Audio2Face, Isaac Sim, View, Code y Machinima. Estas aplicaciones permiten incrustar código Python ejecutable en archivos de descripción de escena universal (USD) para personalizar todos los aspectos de una escena. Si un usuario abre un archivo USD que contiene código Python incrustado en una de estas aplicaciones, el código Python incrustado se ejecuta automáticamente con los privilegios del usuario que abrió el archivo. Como resultado, un atacante remoto sin privilegios podría crear un archivo USD que contenga código Python malicioso y persuadir a un usuario local para que abra el archivo, lo que puede provocar la divulgación de información, la manipulación de datos y la denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Red Hat Advanced Cluster Management para Kubernetes (RHACM) (CVE-2022-3841)
Fecha de publicación:
13/01/2023
Idioma:
Español
RHACM: SSRF no autenticado en el endpoint de la API de la consola. Se encontró una vulnerabilidad Server-Side Request Forgery (SSRF) en el endpoint de la API de la consola de Red Hat Advanced Cluster Management para Kubernetes (RHACM). Un atacante podría aprovechar esto, ya que al endpoint de la API de la consola le falta una verificación de autenticación, lo que permite a los usuarios no autenticados realizar solicitudes.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en wildfly-elytron (CVE-2022-3143)
Fecha de publicación:
13/01/2023
Idioma:
Español
wildfly-elytron: posibles ataques de sincronización mediante el uso de un comparador inseguro. Se encontró una falla en Wildfly-elytron. Wildfly-elytron utiliza java.util.Arrays.equals en varios lugares, lo que no es seguro y es vulnerable a ataques de sincronización. Para comparar valores de forma segura, utilice java.security.MessageDigest.isEqual en su lugar. Esta falla permite a un atacante acceder a información segura o hacerse pasar por un usuario autenticado.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2025
Suscribirse a Vulnerabilidades