Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en thinkgem JeeSite 5.3 (CVE-2024-8112)
Fecha de publicación:
23/08/2024
Idioma:
Español
Se encontró una vulnerabilidad en thinkgem JeeSite 5.3. Ha sido calificada como problemática. Este problema afecta un procesamiento desconocido del archivo /js/a/login del componente Cookie Handler. La manipulación del argumento skinName conduce a cross site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2024

Vulnerabilidad en pretix (CVE-2024-8113)
Fecha de publicación:
23/08/2024
Idioma:
Español
El XSS almacenado en la configuración del organizador y del evento con pretix hasta 2024.7.0 permite a organizadores de eventos maliciosos inyectar etiquetas HTML en vistas previas de correo electrónico en la página de configuración. La política de seguridad de contenido predeterminada de pretix impide la ejecución de scripts proporcionados por atacantes, lo que hace que la explotación sea poco probable. Sin embargo, combinada con una omisión del CSP (que actualmente no se conoce), la vulnerabilidad podría usarse para hacerse pasar por otros organizadores o usuarios del personal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2024

Vulnerabilidad en Zohocorp ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus (CVE-2024-41150)
Fecha de publicación:
23/08/2024
Idioma:
Español
Una vulnerabilidad de Cross-Site Scripting Almacenado en el módulo de solicitud afecta a Zohocorp ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus. Este problema afecta a las versiones de ServiceDesk Plus: hasta 14810; ServiceDesk Plus MSP: hasta 14800; SupportCenter Plus: hasta 14800.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2024

Vulnerabilidad en DENEX U-Boot (CVE-2024-42040)
Fecha de publicación:
23/08/2024
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer en net/bootp.c en DENEX U-Boot desde su confirmación inicial en 2002 (3861aa5) hasta hoy en cualquier plataforma permite a un atacante en la red local perder memoria de cuatro a 32 bytes de memoria almacenados detrás el paquete a la red dependiendo del uso posterior de los parámetros proporcionados por DHCP a través de respuestas DHCP manipuladas.
Gravedad: Pendiente de análisis
Última modificación:
23/08/2024

Vulnerabilidad en Kashipara Bus Ticket Reservation System v1.0 (CVE-2024-42764)
Fecha de publicación:
23/08/2024
Idioma:
Español
Kashipara Bus Ticket Reservation System v1.0 es vulnerable a Cross Site Request Forgery (CSRF) a través de /deleteTicket.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2025

Vulnerabilidad en Kashipara Bus Ticket Reservation System v1.0 (CVE-2024-42765)
Fecha de publicación:
23/08/2024
Idioma:
Español
Una vulnerabilidad de inyección SQL en "/login.php" del Kashipara Bus Ticket Reservation System v1.0 permite a atacantes remotos ejecutar comandos SQL arbitrarios y omitir el inicio de sesión a través de los parámetros de la página de inicio de sesión "correo electrónico" o "contraseña".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2025

Vulnerabilidad en Kashipara Bus Ticket Reservation System v1.0 0 (CVE-2024-42766)
Fecha de publicación:
23/08/2024
Idioma:
Español
Kashipara Bus Ticket Reservation System v1.0 0 es vulnerable a un control de acceso incorrecto a través de /deleteTicket.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2024

Vulnerabilidad en Staff Appraisal System v1.0 (CVE-2024-42915)
Fecha de publicación:
23/08/2024
Idioma:
Español
Una vulnerabilidad de inyección de encabezado de host en Staff Appraisal System v1.0 permite a los atacantes obtener el token de restablecimiento de contraseña a través de la interacción del usuario con un enlace de restablecimiento de contraseña manipulado. Esto permitirá a los atacantes restablecer arbitrariamente las contraseñas de otros usuarios y comprometer sus cuentas.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2024

Vulnerabilidad en Open edX (CVE-2024-43782)
Fecha de publicación:
23/08/2024
Idioma:
Español
Este repositorio de openx-translations contiene archivos de traducción de los repositorios de Open edX que se mantendrán sincronizados con Transifex. Antes de pasar a extraer traducciones del repositorio de openx-translations a través de openx-atlas, las traducciones en el repositorio de edx-platform se validaron utilizando edx-i18n-tools. Esta validación incluyó protección contra traducciones con formato incorrecto e inyecciones de scripts basados en traducciones. Antes de este parche, la validación implementada en el repositorio de openx-translations no incluía las mismas protecciones. El fabricante inspeccionó las traducciones en el directorio edx-platform de las ramas principal y open-release/redwood.master del repositorio openx-translations y no encontró evidencia de cadenas de traducción explotadas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2024

Vulnerabilidad en RequestStore para Rack (CVE-2024-43791)
Fecha de publicación:
23/08/2024
Idioma:
Español
RequestStore proporciona almacenamiento global por solicitud para Rack. Los archivos publicados como parte de request_store 1.3.2 tienen permisos 0666, lo que significa que se pueden escribir en todo el mundo, lo que permite a los usuarios locales ejecutar código arbitrario. Esta versión se publicó en 2017, y la mayoría de entornos de producción no permiten el acceso a usuarios locales, por lo que las posibilidades de que esto sea explotado son muy bajas, dado que la gran mayoría de usuarios habrán actualizado, y los que no, en su caso, no es probable que queden expuestos.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en Collabora Online (CVE-2024-37311)
Fecha de publicación:
23/08/2024
Idioma:
Español
Collabora Online es una suite ofimática colaborativa en línea basada en LibreOffice. En las versiones afectadas de Collabora Online, las conexiones https de coolwsd a otros hosts pueden verificar de forma incompleta los certificados del host remoto con respecto a la cadena de confianza completa. Esta vulnerabilidad se solucionó en Collabora Online 24.04.4.3, 23.05.14.1 y 22.05.23.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2024

Vulnerabilidad en Zohocorp ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus (CVE-2024-38869)
Fecha de publicación:
23/08/2024
Idioma:
Español
Una vulnerabilidad de Cross-Site Scripting Almacenado afecta a Zohocorp ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus. Este problema afecta a las versiones de ServiceDesk Plus: hasta 14810; ServiceDesk Plus MSP: hasta 14800; SupportCenter Plus: hasta 14800.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2024
Suscribirse a Vulnerabilidades