Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Umbraco (CVE-2024-48929)
Fecha de publicación:
22/10/2024
Idioma:
Español
Umbraco es un sistema de gestión de contenido .NET gratuito y de código abierto. En las versiones de la rama 13.x anteriores a la 13.5.2 y en las versiones de la rama 10.x anteriores a la 10.8.7, durante un cierre de sesión explícito, la sesión del servidor no finaliza por completo. Las versiones 13.5.2 y 10.8.7 contienen un parche para solucionar este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2024

Vulnerabilidad en No Fuss Computing Centurion ERP (CVE-2024-49373)
Fecha de publicación:
22/10/2024
Idioma:
Español
No Fuss Computing Centurion ERP es un software de planificación de recursos empresariales (ERP) de código abierto. Antes de la versión 1.2.1, un usuario autenticado podía ver proyectos dentro de organizaciones de las que no formaba parte. La versión 1.2.1 soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2024

Vulnerabilidad en Umbraco (CVE-2024-48925)
Fecha de publicación:
22/10/2024
Idioma:
Español
Umbraco, un sistema de gestión de contenido .NET gratuito y de código abierto, tiene un problema de control de acceso incorrecto a partir de la versión 14.0.0 y anteriores a la versión 14.3.0. El problema permite que los usuarios con pocos privilegios accedan a la API de webhook y recuperen información que debería estar restringida a los usuarios con acceso a la sección de configuración. La versión 14.3.0 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2024

Vulnerabilidad en Collabtive 3.1 (CVE-2024-46240)
Fecha de publicación:
22/10/2024
Idioma:
Español
Collabtive 3.1 es vulnerable a cross-site scripting (XSS) a través del parámetro name en action=system y los parámetros company/contact en action=addcust dentro del archivo admin.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2024

Vulnerabilidad en Umbraco (CVE-2024-47819)
Fecha de publicación:
22/10/2024
Idioma:
Español
Umbraco, un sistema de gestión de contenido .NET gratuito y de código abierto, tiene una vulnerabilidad de cross-site scripting a partir de la versión 14.0.0 y anteriores a las versiones 14.3.1 y 15.0.0. Esto se puede aprovechar para obtener acceso a endpoints con privilegios más altos, por ejemplo, si consigue que un usuario con privilegios de administrador ejecute el código, puede elevar potencialmente a todos los usuarios y otorgarles privilegios de administrador o acceder a contenido protegido. Las versiones 14.3.1 y 15.0.0 contienen un parche. Como workaround, asegúrese de que el acceso a la sección Diccionario solo se conceda a usuarios de confianza.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2024

Vulnerabilidad en Helakuru v1.1 (CVE-2024-48605)
Fecha de publicación:
22/10/2024
Idioma:
Español
Un problema en la aplicación de escritorio Helakuru v1.1 permite que un atacante local ejecute código arbitrario a través de la falta de validación adecuada del archivo wow64log.dll.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2024

Vulnerabilidad en Y Soft SAFEQ 6 Build 53 (CVE-2022-23862)
Fecha de publicación:
22/10/2024
Idioma:
Español
Se descubrió un problema de escalada de privilegios locales en Y Soft SAFEQ 6 Build 53. El servicio JMX de SafeQ que se ejecuta en el puerto 9696 es vulnerable a ataques JMX MLet. Debido a que el servicio no aplicaba la autenticación y se ejecutaba bajo el usuario "NT Authority\System", un atacante puede usar la vulnerabilidad para ejecutar código arbitrario y ascender al usuario del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2024

Vulnerabilidad en Y Soft SAFEQ 6 Build 53 (CVE-2022-23861)
Fecha de publicación:
22/10/2024
Idioma:
Español
Se descubrieron múltiples vulnerabilidades de cross-site scripting almacenadas en Y Soft SAFEQ 6 Build 53. Se pueden usar varios campos en la aplicación web YSoft SafeQ para inyectar entradas maliciosas que, debido a la falta de desinfección de salida, dan como resultado la ejecución de código JS arbitrario. Estos campos se pueden aprovechar para realizar ataques XSS a usuarios legítimos que acceden a la interfaz web de SafeQ.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/11/2024

Vulnerabilidad en IBM Concert (CVE-2024-43177)
Fecha de publicación:
22/10/2024
Idioma:
Español
IBM Concert 1.0.0 y 1.0.1 son vulnerables a ataques que se basan en el uso de cookies sin el atributo SameSite.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2024

Vulnerabilidad en Liferay Portal y DXP (CVE-2024-8980)
Fecha de publicación:
22/10/2024
Idioma:
Español
La consola de scripts en Liferay Portal 7.0.0 a 7.4.3.101, y Liferay DXP 2023.Q3.1 a 2023.Q3.4, 7.4 GA a la actualización 92, 7.3 GA a la actualización 35, 7.2 GA a través del fixpack 20, 7.1 GA a través del fixpack 28, 7.0 GA a través del fixpack 102 y 6.2 GA a través del fixpack 173 no protege lo suficiente contra ataques de Cross-Site Request Forgery (CSRF), que permiten a atacantes remotos ejecutar scripts de Groovy arbitrarios a través de una URL manipulada o una vulnerabilidad XSS.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/12/2024

Vulnerabilidad en Liferay Portal y DXP (CVE-2024-38002)
Fecha de publicación:
22/10/2024
Idioma:
Español
El componente workflow en Liferay Portal 7.3.2 a 7.4.3.111, y Liferay DXP 2023.Q4.0 a 2023.Q4.5, 2023.Q3.1 a 2023.Q3.8, 7.4 GA a la actualización 92 y 7.3 GA a la actualización 36 no verifica correctamente los permisos de usuario antes de actualizar una definición de workflow, lo que permite a los usuarios autenticados remotos modificar las definiciones de workflow y ejecutar código arbitrario (RCE) a través de la API sin interfaz gráfica.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/09/2025

Vulnerabilidad en IBM Concert (CVE-2024-43173)
Fecha de publicación:
22/10/2024
Idioma:
Español
IBM Concert 1.0.0 y 1.0.1 son vulnerables a ataques que se basan en el uso de cookies sin el atributo SameSite.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/10/2024
Suscribirse a Vulnerabilidades