Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-21903

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Vulnerability in the Oracle Banking Virtual Account Management product of Oracle Financial Services Applications (component: OBVAM Internal Tfr Domain). Supported versions that are affected are 14.5, 14.6 and 14.7. Difficult to exploit vulnerability allows high privileged attacker with network access via HTTP to compromise Oracle Banking Virtual Account Management. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Banking Virtual Account Management accessible data as well as unauthorized update, insert or delete access to some of Oracle Banking Virtual Account Management accessible data and unauthorized ability to cause a partial denial of service (partial DOS) of Oracle Banking Virtual Account Management. CVSS 3.1 Base Score 5.3 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:L/A:L).
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/04/2023

CVE-2023-21902

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Vulnerability in the Oracle Financial Services Behavior Detection Platform product of Oracle Financial Services Applications (component: Application). The supported version that is affected is 8.0.8.1. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Financial Services Behavior Detection Platform. Successful attacks of this vulnerability can result in unauthorized read access to a subset of Oracle Financial Services Behavior Detection Platform accessible data. CVSS 3.1 Base Score 4.3 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/04/2023

CVE-2023-21896

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Vulnerability in the Oracle Solaris product of Oracle Systems (component: NSSwitch). Supported versions that are affected are 10 and 11. Difficult to exploit vulnerability allows low privileged attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. Successful attacks of this vulnerability can result in takeover of Oracle Solaris. CVSS 3.1 Base Score 7.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2024

CVE-2022-34755

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** A CWE-427 - Uncontrolled Search Path Element vulnerability exists that could allow an attacker with a local privileged account to place a specially crafted file on the target machine, which may give the attacker the ability to execute arbitrary code during the installation process initiated by a valid user. Affected Products: Easergy Builder Installer (1.7.23 and prior)
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2023

CVE-2022-43377

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause account takeover when a brute force attack is performed on the account. Affected Products: NetBotz 4 - 355/450/455/550/570 (V4.7.0 and prior)
Gravedad CVSS v3.1: ALTA
Última modificación:
25/04/2023

CVE-2022-43376

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** A CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability exists that could cause code and session manipulation when malicious code is inserted into the browser. Affected Products: NetBotz 4 - 355/450/455/550/570 (V4.7.0 and prior)
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/04/2023

CVE-2023-22294

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Privilege escalation in Tribe29 Checkmk Appliance before 1.6.4 allows authenticated site users to escalate privileges via incorrectly set permissions.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2023

CVE-2023-22307

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Sensitive data exposure in Webconf in Tribe29 Checkmk Appliance before 1.6.4 allows local attacker to retrieve passwords via reading log files.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2023

CVE-2023-25556

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** A CWE-287: Improper Authentication vulnerability exists that could allow a device to be compromised when a key of less than seven digits is entered and the attacker has access to the KNX installation.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2023

CVE-2023-29855

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** WBCE CMS 1.5.3 has a command execution vulnerability via admin/languages/install.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/02/2025

CVE-2023-29854

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** DirCMS 6.0.0 has a Cross Site Scripting (XSS) vulnerability in the foreground.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2025

CVE-2023-1548

Fecha de publicación:
18/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** A CWE-269: Improper Privilege Management vulnerability exists that could cause a local user to perform a denial of service through the console server service that is part of EcoStruxure Control Expert. Affected Products: EcoStruxure Control Expert (V15.1 and above)
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2023