Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ClassLink OneClick Extension (CVE-2023-45889)
Fecha de publicación:
23/01/2024
Idioma:
Español
Una vulnerabilidad de Universal Cross Site Scripting (UXSS) en ClassLink OneClick Extension hasta 10.8 permite a atacantes remotos inyectar JavaScript en cualquier página web. NOTA: este problema existe debido a una solución incompleta para CVE-2022-48612.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en HPE OneView (CVE-2023-6573)
Fecha de publicación:
23/01/2024
Idioma:
Español
Es posible que a HPE OneView le falte una frase de contraseña durante la restauración.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2024

Vulnerabilidad en Whoogle Search (CVE-2024-22203)
Fecha de publicación:
23/01/2024
Idioma:
Español
Whoogle Search es un metabuscador autohospedado. En versiones anteriores a la 0.8.4, el método `element` en `app/routes.py` no valida las variables `src_type` y `element_url` controladas por el usuario y las pasa al método `send` que envía una solicitud GET. en las líneas 339-343 en `request.py`, lo que conduce a server-side request forgery. Este problema permite elaborar solicitudes GET a recursos internos y externos en nombre del servidor. Por ejemplo, este problema permitiría acceder a recursos en la red interna a la que tiene acceso el servidor, aunque es posible que no se pueda acceder a estos recursos en Internet. Este problema se solucionó en la versión 0.8.4.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/01/2024

Vulnerabilidad en Whoogle Search (CVE-2024-22204)
Fecha de publicación:
23/01/2024
Idioma:
Español
Whoogle Search es un metabuscador autohospedado. Las versiones 0.8.3 y anteriores tienen una vulnerabilidad de escritura de archivos limitada cuando las opciones de configuración en Whoogle están habilitadas. La función `config` en `app/routes.py` no valida la variable `name` controlada por el usuario en la línea 447 y la variable `config_data` en la línea 437. La variable `name` está concatenada de forma insegura en `os.path. join`, lo que lleva a la manipulación de la ruta. Los datos POST de la variable `config_data` se guardan con `pickle.dump`, lo que genera una escritura de archivo limitada. Sin embargo, los datos que se guardan se transforman previamente en un diccionario y el par clave-valor "url" se agrega antes de que el archivo se guarde en el sistema. Con todo, el problema nos permite guardar y sobrescribir archivos en el sistema para el que la aplicación tiene permisos, con un diccionario que contiene datos arbitrarios y el valor clave "url", que es una escritura de archivo limitada. La versión 0.8.4 contiene un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/02/2024

Vulnerabilidad en Whoogle Search (CVE-2024-22205)
Fecha de publicación:
23/01/2024
Idioma:
Español
Whoogle Search es un metabuscador autohospedado. En las versiones 0.8.3 y anteriores, el punto final `window` no desinfecta la entrada proporcionada por el usuario desde la variable `location` y la pasa al método `send` que envía una solicitud `GET` en las líneas 339-343 en `request .py`, lo que conduce a server-side request forgery. Este problema permite elaborar solicitudes GET a recursos internos y externos en nombre del servidor. Por ejemplo, este problema permitiría acceder a recursos en la red interna a la que tiene acceso el servidor, aunque es posible que no se pueda acceder a estos recursos en Internet. Este problema se solucionó en la versión 0.8.4.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2024

Vulnerabilidad en Whoogle Search (CVE-2024-22417)
Fecha de publicación:
23/01/2024
Idioma:
Español
Whoogle Search es un metabuscador autohospedado. En las versiones 0.8.3 y anteriores, el método `element` en `app/routes.py` no valida las variables `src_type` y `element_url` controladas por el usuario y las pasa al método `send` que envía un `GET `solicitud en las líneas 339-343 en `requests.py`. El contenido devuelto de la URL luego se pasa y se refleja al usuario en la función `send_file` en la línea 484, junto con el `src_type` controlado por el usuario, que permite al atacante controlar el tipo de contenido de la respuesta HTTP que conduce a una vulnerabilidad de cross-site scripting. Un atacante podría crear una URL especial para apuntar a un sitio web malicioso y enviar el enlace a una víctima. El hecho de que el enlace contenga un dominio confiable (por ejemplo, de una de las instancias públicas de Whoogle) podría usarse para engañar al usuario para que haga clic en el enlace. El sitio web malicioso podría, por ejemplo, ser una copia de un sitio web real, destinado a robar. las credenciales de una persona para el sitio web, o engañar a esa persona de otra manera. La versión 0.8.4 contiene un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/02/2024

Vulnerabilidad en HPE OneView (CVE-2023-50275)
Fecha de publicación:
23/01/2024
Idioma:
Español
HPE OneView puede permitir la omisión de autenticación del servicio de clúster, lo que resulta en una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2025

Vulnerabilidad en beetl-bbs 2.0 (CVE-2024-22490)
Fecha de publicación:
23/01/2024
Idioma:
Español
Vulnerabilidad de Cross Site Scripting (XSS) en beetl-bbs 2.0 permite a los atacantes ejecutar código arbitrario a través del parámetro de palabra clave /index.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2024

Vulnerabilidad en JFinalcms 5.0.0 (CVE-2024-22496)
Fecha de publicación:
23/01/2024
Idioma:
Español
Vulnerabilidad de Cross Site Scripting (XSS) en JFinalcms 5.0.0 permite a los atacantes ejecutar código arbitrario a través del parámetro de nombre de usuario /admin/login.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/06/2025

Vulnerabilidad en HPE OneView (CVE-2023-50274)
Fecha de publicación:
23/01/2024
Idioma:
Español
HPE OneView puede permitir la inyección de comandos con escalada de privilegios local.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

CVE-2024-23854
Fecha de publicación:
23/01/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID was unused by the CNA.
Gravedad: Pendiente de análisis
Última modificación:
23/01/2024

Vulnerabilidad en Apache Superset (CVE-2023-49657)
Fecha de publicación:
23/01/2024
Idioma:
Español
Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en Apache Superset anterior a 3.0.3. Un atacante autenticado con permisos de creación/actualización en gráficos o paneles podría almacenar un script o agregar un fragmento HTML específico que actuaría como un XSS almacenado. Para las versiones 2.X, los usuarios deben cambiar su configuración para incluir: TALISMAN_CONFIG = { "content_security_policy": { "base-uri": ["'self'"], "default-src": ["'self'"], "img-src": ["'self'", "blob:", "data:"], "worker-src": ["'self'", "blob:"], "connect-src": [ "'self'", " https://api.mapbox.com" https://api.mapbox.com" ;, " https://events.mapbox.com" https://events.mapbox.com" ;, ], "object-src": "'none'", "style-src": [ "'self'", "'unsafe-inline'", ], "script-src": ["'self' ", "'strict-dynamic'"], }, "content_security_policy_nonce_in": ["script-src"], "force_https": False, "session_cookie_secure": False, }
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2024
Suscribirse a Vulnerabilidades