Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42248)
Fecha de publicación:
13/01/2025
Idioma:
Español
Se descubrió un problema en Selesta Visual Access Manager (VAM) anterior a la versión 4.42.2. Un atacante autenticado puede escribir archivos arbitrarios manipulando los parámetros POST de la página "common/vam_Sql.php".
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42249)
Fecha de publicación:
13/01/2025
Idioma:
Español
Selesta Visual Access Manager < 4.42.2 es vulnerable a Cross Site Scripting (XSS) a través de vam/vam_visits.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42250)
Fecha de publicación:
13/01/2025
Idioma:
Español
Selesta Visual Access Manager < 4.42.2 es vulnerable a Cross Site Scripting (XSS) a través de /common/autocomplete.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en Bitdefender Virus Scanner (CVE-2024-11128)
Fecha de publicación:
13/01/2025
Idioma:
Español
Una vulnerabilidad en el binario BitdefenderVirusScanner que se utiliza en Bitdefender Virus Scanner para MacOS puede permitir la inyección de Librería dinámica (inyección DYLD) sin que AppleMobileFileIntegrity (AMFI) la bloquee. Este problema se debe a la ausencia de la firma de validación de Librería de Hardened Runtime. Este problema afecta a las versiones de Bitdefender Virus Scanner anteriores a la 3.18.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/02/2025

Vulnerabilidad en notion-go (CVE-2024-51491)
Fecha de publicación:
13/01/2025
Idioma:
Español
notion-go es una colección de Librerías para respaldar la firma y verificación de artefactos OCI. Basado en las especificaciones del Proyecto Notary. El problema se identificó durante la auditoría de seguridad de Quarkslab sobre la función de verificación de revocación basada en la Lista de revocación de certificados (CRL). Después de recuperar la CRL, notation-go intenta actualizar la caché de CRL utilizando el método os.Rename. Sin embargo, esta operación puede fallar debido a limitaciones específicas de sistema operativo, en particular cuando las rutas de origen y destino están en diferentes puntos de montaje. Este fallo podría provocar una finalización inesperada del programa. En el método `crl.(*FileCache).Set`, se crea un archivo temporal en el área dedicada del SO (como /tmp para, por lo general, Linux/Unix). El archivo se escribe y luego se intenta moverlo al directorio de caché dedicado de `notation` gracias a `os.Rename`. Como se especifica en la documentación de Go, pueden aplicarse restricciones específicas del SO. Cuando se utiliza con el sistema operativo Linux, se basa en la llamada al sistema de cambio de nombre de la libc y, según la documentación, mover un archivo a un punto de montaje diferente genera un error EXDEV, que se interpreta como un error de vínculo entre dispositivos no permitido. Algunas distribuciones de Linux, como RedHat, utilizan un sistema de archivos dedicado (tmpfs), montado en un punto de montaje específico (normalmente /tmp) para archivos temporales. Cuando se utiliza dicho sistema operativo, la comprobación de revocación basada en CRL bloqueará repetidamente la notación. Como resultado, el proceso de verificación de firma se cancela a medida que el proceso se bloquea. Este problema se ha solucionado en la versión 1.3.0-rc.2 y se recomienda a todos los usuarios que actualicen. No se conocen Workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
05/09/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42238)
Fecha de publicación:
13/01/2025
Idioma:
Español
Se descubrió un problema en Selesta Visual Access Manager (VAM) anterior a la versión 4.42.2. Un atacante autenticado puede realizar una inyección SQL en varios parámetros POST de /vam/vam_eps.php.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/04/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42239)
Fecha de publicación:
13/01/2025
Idioma:
Español
Se descubrió un problema en Selesta Visual Access Manager (VAM) anterior a la versión 4.42.2. Un atacante autenticado puede realizar una inyección SQL en varios parámetros POST de /vam/vam_ep.php.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/04/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42240)
Fecha de publicación:
13/01/2025
Idioma:
Español
Se descubrió un problema en Selesta Visual Access Manager (VAM) anterior a la versión 4.42.2. Un atacante autenticado puede realizar una inyección SQL en varios parámetros POST de /monitor/s_scheduledfile.php.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/04/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42241)
Fecha de publicación:
13/01/2025
Idioma:
Español
Se descubrió un problema en Selesta Visual Access Manager (VAM) anterior a la versión 4.42.2. Un atacante autenticado puede realizar una inyección SQL en varios parámetros POST de /vam/vam_anagraphic.php.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/04/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42242)
Fecha de publicación:
13/01/2025
Idioma:
Español
Se descubrió un problema en Selesta Visual Access Manager (VAM) anterior a la versión 4.42.2. Un atacante autenticado puede realizar una inyección SQL en un parámetro GET de /monitor/s_terminal.php.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/04/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42243)
Fecha de publicación:
13/01/2025
Idioma:
Español
En Selesta Visual Access Manager < 4.42.2, un usuario autenticado puede acceder a la página administrativa /common/vam_Sql.php, que permite realizar consultas SQL arbitrarias.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2023-42244)
Fecha de publicación:
13/01/2025
Idioma:
Español
Se descubrió un problema en Selesta Visual Access Manager (VAM) anterior a la versión 4.42.2. Un atacante autenticado puede realizar una inyección SQL en varios parámetros POST de /vam/vam_visits.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/04/2025
Suscribirse a Vulnerabilidades