Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dispositivos Pixel banda base shannon (CVE-2023-35662)
Fecha de publicación:
11/10/2023
Idioma:
Español
Existe una posible escritura fuera de los límites debido a un desbordamiento del búfer. Esto podría conducir a la ejecución remota de código sin necesidad de privilegios de actuación adicionales. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/10/2023

Vulnerabilidad en temp_residency_name_store de Thermal_metrics.c (CVE-2023-40141)
Fecha de publicación:
11/10/2023
Idioma:
Español
En temp_residency_name_store de Thermal_metrics.c, hay una posible escritura fuera de los límites debido a una verificación de los límites faltante. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2023

Vulnerabilidad en Dispositivos Pixel oobconfig TBD (CVE-2023-40142)
Fecha de publicación:
11/10/2023
Idioma:
Español
En TBD, existe una forma posible de omitir las restricciones del operador debido a un error lógico en el código. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2023

Vulnerabilidad en vantage6 (CVE-2023-41881)
Fecha de publicación:
11/10/2023
Idioma:
Español
vantage6 es una infraestructura de aprendizaje federada que preserva la privacidad. Cuando se elimina una colaboración, se deben eliminar los recursos vinculados (como las tareas de esa colaboración). Esto es en parte para administrar los datos correctamente, pero también para evitar un efecto secundario potencial (pero poco probable) que afecte a las versiones anteriores a la 4.0.0, donde si se elimina una colaboración con id=10 y posteriormente se crea una nueva colaboración con id =10, los usuarios autenticados en esa colaboración podrían ver los resultados de la colaboración eliminada en algunos casos. La versión 4.0.0 contiene un parche para este problema. No se conocen workarounds.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/10/2023

Vulnerabilidad en vantage6 (CVE-2023-41882)
Fecha de publicación:
11/10/2023
Idioma:
Español
vantage6 es una infraestructura de aprendizaje federada que preserva la privacidad. El endpoint /api/collaboration/{id}/task se utiliza para recopilar todas las tareas de una determinada colaboración. Para realizar dichas tareas, un usuario debe tener permiso para ver la colaboración y las tareas que contiene. Sin embargo, antes de la versión 4.0.0, solo se verifica si el usuario tiene permiso para ver la colaboración. La versión 4.0.0 contiene un parche. No se conocen workarounds.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/10/2023

Vulnerabilidad en Cachet (CVE-2023-43661)
Fecha de publicación:
11/10/2023
Idioma:
Español
Cachet, el sistema de páginas de estado de código abierto. Antes de la rama 2.4, tiene una funcionalidad de plantilla que permitía a los usuarios crear plantillas, les permitía ejecutar cualquier código en el servidor durante la filtración incorrecta y la versión antigua de twig. El commit 6fb043e109d2a262ce3974e863c54e9e5f5e0587 de la rama 2.4 contiene un parche para este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2023

Vulnerabilidad en vim/vim de GitHub (CVE-2023-5535)
Fecha de publicación:
11/10/2023
Idioma:
Español
Use After Free en el repositorio de GitHub vim/vim anterior a la versión 9.0.2010.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/11/2023

Vulnerabilidad en vantage6 (CVE-2023-28635)
Fecha de publicación:
11/10/2023
Idioma:
Español
vantage6 es una infraestructura de aprendizaje federada que preserva la privacidad. Antes de la versión 4.0.0, los usuarios malintencionados podían intentar obtener acceso a recursos que no podían ver, creando recursos con números enteros como nombres. Un ejemplo en el que esto supone un riesgo es cuando los usuarios definen qué usuarios pueden ejecutar algoritmos en su nodo. Esto puede definirse por nombre de usuario o identificación de usuario. Ahora, por ejemplo, si el ID de usuario 13 puede ejecutar tareas y un atacante crea un nombre de usuario con el nombre de usuario '13', se le permitiría ejecutar un algoritmo por error. También puede haber otros lugares en el código donde dicha combinación de ID o nombre de recurso genera problemas. La versión 4.0.0 contiene un parche para este problema. La mejor solución es comprobar, cuando se crean o modifican recursos, que el nombre del recurso siempre comience con un carácter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/10/2023

Vulnerabilidad en Dispositivos Pixel banda base shannon TBD (CVE-2023-35646)
Fecha de publicación:
11/10/2023
Idioma:
Español
En TBD, existe un posible desbordamiento del búfer debido a una verificación de los límites faltantes. Esto podría conducir a la ejecución remota de código sin necesidad de privilegios de actuación adicionales. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/10/2023

Vulnerabilidad en Dispositivos Pixel bordetpu tbd (CVE-2023-35645)
Fecha de publicación:
11/10/2023
Idioma:
Español
En tbd, existe una posible corrupción de la memoria debido a una condición de ejecución. Esto podría conducir a una escalada local de privilegios con permisos de ejecución de System necesarios. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2023

Vulnerabilidad en Inspect Element Ltd Echo.ac v.5.2.1.0 (CVE-2023-38817)
Fecha de publicación:
11/10/2023
Idioma:
Español
Un problema en Inspect Element Ltd Echo.ac v.5.2.1.0 permite a un atacante local obtener privilegios mediante un comando manipulado para el componente echo_driver.sys. NOTA: la posición del proveedor es que la capacidad informada de que las aplicaciones en modo de usuario ejecuten código como NT AUTHORITY\SYSTEM fue "desactivada por el propio Microsoft".
Gravedad CVSS v3.1: ALTA
Última modificación:
02/08/2024

Vulnerabilidad en Koha Library Software (CVE-2023-44961)
Fecha de publicación:
11/10/2023
Idioma:
Español
Vulnerabilidad de inyección SQL en Koha Library Software 23.0.5.04 y anteriores permite a un atacante remoto obtener información confidencial a través del componente intranet/cgi bin/cataloging/ysearch.pl.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2023
Suscribirse a Vulnerabilidades