Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2014-125100

Fecha de publicación:

02/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability classified as problematic was found in BestWebSoft Job Board Plugin 1.0.0 on WordPress. This vulnerability affects unknown code. The manipulation leads to cross site scripting. The attack can be initiated remotely. Upgrading to version 1.0.1 is able to address this issue. The name of the patch is dbb71deee071422ce3e663fbcdce3ad24886f940. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-227764.

Gravedad CVSS v3.1: MEDIA

Última modificación:

17/05/2024

CVE-2023-30639

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** Archer Platform 6.8 before 6.12 P6 HF1 (6.12.0.6.1) contains a stored XSS vulnerability. A remote authenticated malicious Archer user could potentially exploit this vulnerability to store malicious HTML or JavaScript code in a trusted application data store. 6.11.P4 (6.11.0.4) is also a fixed release.

Gravedad CVSS v3.1: ALTA

Última modificación:

30/01/2025

CVE-2023-26987

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** An issue discovered in Konga 0.14.9 allows remote attackers to manipulate user accounts regardless of privilege via crafted POST request.

Gravedad CVSS v3.1: MEDIA

Última modificación:

30/01/2025

CVE-2023-27035

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** An issue discovered in Obsidian Canvas 1.1.9 allows remote attackers to send desktop notifications, record user audio and other unspecified impacts via embedded website on the canvas page.

Gravedad CVSS v3.1: MEDIA

Última modificación:

30/01/2025

CVE-2023-27108

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** An issue was discovered in KaiOS 3.0. The pre-installed Communications application exposes a Web Activity that returns the user&#39;s call log without origin or permission checks. An attacker can inject a JavaScript payload that runs in a browser or app without user interaction or consent. This allows an attacker to send the user&#39;s call logs to a remote server via XMLHttpRequest or Fetch.

Gravedad CVSS v3.1: MEDIA

Última modificación:

30/01/2025

CVE-2023-29680

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** Cleartext Transmission in set-cookie:ecos_pw: Tenda N301 v6.0, Firmware v12.02.01.61_multi allows an authenticated attacker on the LAN or WLAN to intercept communications with the router and obtain the password.

Gravedad CVSS v3.1: MEDIA

Última modificación:

30/01/2025

CVE-2023-29681

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** Cleartext Transmission in cookie:ecos_pw: in Tenda N301 v6.0, firmware v12.03.01.06_pt allows an authenticated attacker on the LAN or WLAN to intercept communications with the router and obtain the password.

Gravedad CVSS v3.1: MEDIA

Última modificación:

30/01/2025

CVE-2023-2197

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** HashiCorp Vault Enterprise 1.13.0 up to 1.13.1 is vulnerable to a padding oracle attack when using an HSM in conjunction with the CKM_AES_CBC_PAD or CKM_AES_CBC encryption mechanisms. An attacker with privileges to modify storage and restart Vault may be able to intercept or modify cipher text in order to derive Vault’s root key. Fixed in 1.13.2

Gravedad CVSS v3.1: BAJA

Última modificación:

30/01/2025

CVE-2022-35898

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** OpenText BizManager before 16.6.0.1 does not perform proper validation during the change-password operation. This allows any authenticated user to change the password of any other user, including the Administrator account.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

30/01/2025

CVE-2023-22919

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** The post-authentication command injection vulnerability in the Zyxel NBG6604 firmware version V1.01(ABIR.0)C0 could allow an authenticated attacker to execute some OS commands remotely by sending a crafted HTTP request.

Gravedad CVSS v3.1: ALTA

Última modificación:

06/05/2023

CVE-2023-22921

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** A cross-site scripting (XSS) vulnerability in the Zyxel NBG-418N v2 firmware versions prior to V1.00(AARP.14)C0 could allow a remote authenticated attacker with administrator privileges to store malicious scripts using a web management interface parameter, resulting in denial-of-service (DoS) conditions on an affected device.

Gravedad CVSS v3.1: ALTA

Última modificación:

06/05/2023

CVE-2023-22922

Fecha de publicación:

01/05/2023

Idioma:

Inglés

*** Pendiente de traducción *** A buffer overflow vulnerability in the Zyxel NBG-418N v2 firmware versions prior to V1.00(AARP.14)C0 could allow a remote unauthenticated attacker to cause DoS conditions by sending crafted packets if Telnet is enabled on a vulnerable device.

Gravedad CVSS v3.1: ALTA

Última modificación:

06/05/2023

Suscribirse a Vulnerabilidades