Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Xolo CMS v0.11 (CVE-2023-43906)

Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que Xolo CMS v0.11 contiene una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2023

Vulnerabilidad en Catdoc v0.95 (CVE-2023-46345)

Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que Catdoc v0.95 contenía una desreferencia de puntero NULL a través del componente xls2csv en src/xlsparse.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2023

Vulnerabilidad en Elastic Endpoint (CVE-2023-46668)

Fecha de publicación:
26/10/2023
Idioma:
Español
Si Elastic Endpoint (v7.9.0 - v8.10.3) está configurado para usar una opción no predeterminada en la que el nivel de log está configurado explícitamente en debug, y cuando Elastic Agent está configurado simultáneamente para recopilar y enviar esos registros a Elasticsearch, entonces las claves de API del Agente Elastic se pueden ver en Elasticsearch en texto plano. Estas claves API podrían usarse para escribir datos arbitrarios y leer artefactos de usuario de Elastic Endpoint.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/11/2023

Vulnerabilidad en Gotham Orbital-Simulator (CVE-2023-30967)

Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que el servicio Gotham Orbital-Simulator anterior a 0.692.0 era vulnerable a un problema de Path Traversal que permitía a un usuario no autenticado leer archivos arbitrarios en el sistema de archivos.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Palantir Tiles1 (CVE-2023-30969)

Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que el servicio Palantir Tiles1 era vulnerable a un problema en toda la API en el que el servicio no realizaba autenticación/autorización en todos los endpoints.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Anglaise Company Anglaise.Company v.13.6.1 (CVE-2023-38845)

Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en Anglaise Company Anglaise.Company v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en Marbre Lapin Line v.13.6.1 (CVE-2023-38846)

Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en Marbre Lapin Line v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en CHRISTINA JAPAN Line v.13.6.1 (CVE-2023-38847)

Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en CHRISTINA JAPAN Line v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en rmc R Beauty CLINIC Line v.13.6.1 (CVE-2023-38848)

Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en rmc R Beauty CLINIC Line v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en Tire-Sales Line v.13.6.1 (CVE-2023-38849)

Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en Tire-Sales Line v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2024

Vulnerabilidad en era-compiler-vyper (CVE-2023-46232)

Fecha de publicación:
25/10/2023
Idioma:
Español
era-compiler-vyper es el compilador EraVM Vyper para zkSync Era, un paquete acumulativo de capa 2 que utiliza pruebas de conocimiento cero para escalar Ethereum. Antes de la versión 1.3.10 de era-compiler-vype, un error impedía la inicialización de la primera variable inmutable para los contratos de Vyper que cumplían ciertos criterios. El problema surge cuando hay un String o Array con más palabras de 256 bits asignadas que inicializadas. Esto da como resultado que el índice de la segunda palabra no esté configurado, que efectivamente se establece en 0, por lo que el primer valor inmutable con el índice 0 real se sobrescribe en ImmutableSimulator. La versión 1.3.10 soluciona este problema configurando todos los índices por adelantado. El problema desaparecerá, pero será más costoso si el usuario asigna una gran cantidad de espacio no inicializado, por ejemplo, `String[4096]`. Actualizar y redistribuir los contratos afectados es la única forma de solucionar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/11/2023

Vulnerabilidad en PHPGurukul Nipah virus (NiV) " Testing Management System v.1.0 (CVE-2023-46583)

Fecha de publicación:
25/10/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) en PHPGurukul Nipah virus (NiV) " Testing Management System v.1.0 permite a los atacantes ejecutar código arbitrario a través de un payload manipulado inyectado en el campo Estado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2023