Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Allegra (CVE-2023-52334)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de divulgación de información de navegación de directorios de Allegra downloadAttachmentGlobal. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Allegra. Aunque se requiere autenticación para explotar esta vulnerabilidad, el producto implementa un mecanismo de registro que se puede utilizar para crear un usuario con un nivel de privilegio suficiente. La falla específica existe dentro de la acción downloadAttachmentGlobal. El problema es el resultado de la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivo. Un atacante puede aprovechar esta vulnerabilidad para divulgar credenciales almacenadas, lo que conduce a una mayor vulneración. Era ZDI-CAN-22507.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2025

Vulnerabilidad en Advantech iView (CVE-2023-52335)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de divulgación de información mediante inyección SQL en ConfigurationServlet de Advantech iView. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Advantech iView. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del servlet ConfigurationServlet, que escucha en el puerto TCP 8080 de manera predeterminada. Al analizar el elemento column_value, el proceso no valida correctamente una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para divulgar credenciales almacenadas, lo que conduce a una mayor vulnerabilidad. Era ZDI-CAN-17863.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

Vulnerabilidad en NETGEAR RAX30 (CVE-2023-51634)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código por validación incorrecta de certificado en NETGEAR RAX30. Esta vulnerabilidad permite a los atacantes adyacentes a la red comprometer la integridad de la información descargada en las instalaciones afectadas de los enrutadores NETGEAR RAX30. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe en la descarga de archivos a través de HTTPS. El problema es el resultado de la falta de una validación adecuada del certificado presentado por el servidor. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto de la raíz. Era ZDI-CAN-19589.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/01/2025

Vulnerabilidad en NETGEAR RAX30 (CVE-2023-51635)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en pila fing_dil en NETGEAR RAX30. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de enrutadores NETGEAR RAX30. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del servicio fing_dil. El problema es el resultado de la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-19843.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/01/2025

Vulnerabilidad en Allegra (CVE-2023-51638)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de omisión de autenticación de credenciales codificadas de forma rígida en Allegra. Esta vulnerabilidad permite a atacantes remotos omitir la autenticación en las instalaciones afectadas de Allegra. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la configuración de una base de datos. El problema es el resultado del uso de una contraseña codificada de forma rígida. Un atacante puede aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Era ZDI-CAN-22360.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/01/2025

Vulnerabilidad en Allegra (CVE-2023-51639)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de omisión de autenticación en el recorrido de directorios de Allegra downloadExportedChart. Esta vulnerabilidad permite a atacantes remotos omitir la autenticación en las instalaciones afectadas de Allegra. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la acción downloadExportedChart. El problema es el resultado de la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivo. Un atacante puede aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Era ZDI-CAN-22361.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/01/2025

Vulnerabilidad en Allegra (CVE-2023-51640)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en el directorio extarctZippedFile de Allegra. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Allegra. Aunque se requiere autenticación para explotar esta vulnerabilidad, se puede omitir el mecanismo de autenticación existente. La falla específica existe dentro del método extarctZippedFile [sic]. El problema es el resultado de la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SERVICIO LOCAL. Era ZDI-CAN-22504.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2025

Vulnerabilidad en Allegra (CVE-2023-51641)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en renderFieldMatch de Allegra que deserializa datos no confiables. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Allegra. Aunque se requiere autenticación para explotar esta vulnerabilidad, el producto implementa un mecanismo de registro que se puede utilizar para crear un usuario con un nivel de privilegio suficiente. La falla específica existe dentro del método renderFieldMatch. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SERVICIO LOCAL. Era ZDI-CAN-22505.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2025

Vulnerabilidad en Allegra (CVE-2023-51642)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en loadFieldMatch de Allegra que deserializa datos no confiables. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Allegra. Aunque se requiere autenticación para explotar esta vulnerabilidad, el producto implementa un mecanismo de registro que se puede utilizar para crear un usuario con un nivel de privilegio suficiente. La falla específica existe dentro del método loadFieldMatch. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SERVICIO LOCAL. Era ZDI-CAN-22506.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2025

Vulnerabilidad en Allegra (CVE-2023-51643)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en el directorio uploadFile de Allegra. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Allegra. Aunque se requiere autenticación para explotar esta vulnerabilidad, se puede eludir el mecanismo de autenticación existente. La falla específica existe dentro del método uploadFile. El problema es el resultado de la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SERVICIO LOCAL. Era ZDI-CAN-22510.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2025

Vulnerabilidad en Allegra SiteConfigAction (CVE-2023-51644)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en Allegra SiteConfigAction debido a un control de acceso inadecuado. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Allegra. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la configuración de Struts. El problema es el resultado de un control de acceso inadecuado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SERVICIO LOCAL. Era ZDI-CAN-22512.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/01/2025

Vulnerabilidad en PaperCut NG (CVE-2023-39470)
Fecha de publicación:
22/11/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en la función peligrosa print.script.sandboxed de PaperCut NG expuesta. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de PaperCut NG. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la administración de la configuración print.script.sandboxed. El problema es el resultado de la exposición de una función peligrosa. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-20965.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025
Suscribirse a Vulnerabilidades