Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Discourse (CVE-2023-45131)
Fecha de publicación:
16/10/2023
Idioma:
Español
Discourse es una plataforma de código abierto para el debate comunitario. Los nuevos mensajes de chat se pueden leer realizando una solicitud POST no autenticada a MessageBus. Este problema se solucionó en las versiones 3.1.1 stable y 3.2.0.beta2 de Discourse. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2023

Vulnerabilidad en Jorani Leave Management System (CVE-2023-45540)
Fecha de publicación:
16/10/2023
Idioma:
Español
Un problema en Jorani Leave Management System 1.0.3 permite a un atacante remoto ejecutar código HTML arbitrario a través de un script manipulado en el campo de comentarios de la página solicitudes List of Leave.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2023

Vulnerabilidad en OpenSearch (CVE-2023-45807)
Fecha de publicación:
16/10/2023
Idioma:
Español
OpenSearch es un fork de código abierto impulsado por la comunidad de Elasticsearch y Kibana luego del cambio de licencia a principios de 2021. Existe un problema con la implementación de permisos de inquilinos en OpenSearch Dashboards donde los usuarios autenticados con acceso de solo lectura a un inquilino pueden realizar tareas de creación, editar y eliminar operaciones en metadatos de índice de paneles y visualizaciones en ese inquilino, lo que podría hacer que no estén disponibles. Este problema no afecta a los datos del índice, sólo a los metadatos. Dashboards aplica correctamente los permisos de solo lectura al indexar y actualizar documentos. Este problema no proporciona acceso de lectura adicional a datos que los usuarios aún no tienen. Este problema se puede mitigar deshabilitando la funcionalidad de inquilinos para el clúster. Las versiones 1.3.14 y 2.11.0 contienen una solución para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2023

Vulnerabilidad en IBM Db2 (CVE-2023-38728)
Fecha de publicación:
16/10/2023
Idioma:
Español
IBM Db2 para Linux, UNIX y Windows (incluyendo Db2 Connect Server) 10.5, 11.1 y 11.5 es vulnerable a la Denegación de Servicio con una declaración de consulta XML especialmente manipulada. ID de IBM X-Force: 262258.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2023

Vulnerabilidad en Fiber (CVE-2023-45128)
Fecha de publicación:
16/10/2023
Idioma:
Español
Fiber es un framework web inspirado en Express escrito en Go. Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la aplicación, que permite a un atacante inyectar valores arbitrarios y falsificar solicitudes maliciosas en nombre de un usuario. Esta vulnerabilidad puede permitir a un atacante inyectar valores arbitrarios sin ninguna autenticación o realizar diversas acciones maliciosas en nombre de un usuario autenticado, comprometiendo potencialmente la seguridad y la integridad de la aplicación. La vulnerabilidad se debe a una validación y aplicación inadecuadas de los tokens CSRF dentro de la aplicación. Este problema se solucionó en la versión 2.50.0 y se recomienda a los usuarios que actualicen. Los usuarios deben tomar medidas de seguridad adicionales como captchas o autenticación de dos factores (2FA) y configurar cookies de sesión con SameSite=Lax o SameSite=Secure, y los atributos Secure y HttpOnly como medidas de defensa en profundidad. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/10/2023

Vulnerabilidad en Fiber (CVE-2023-45141)
Fecha de publicación:
16/10/2023
Idioma:
Español
Fiber es un framework web inspirado en Express escrito en Go. Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la aplicación, que permite a un atacante obtener tokens y falsificar solicitudes maliciosas en nombre de un usuario. Esto puede dar lugar a que se realicen acciones no autorizadas en nombre del usuario, lo que podría comprometer la seguridad y la integridad de la aplicación. La vulnerabilidad se debe a una validación y aplicación inadecuadas de los tokens CSRF dentro de la aplicación. Esta vulnerabilidad se solucionó en la versión 2.50.0 y se recomienda a los usuarios actualizarla. Los usuarios deben tomar medidas de seguridad adicionales como captchas o autenticación de dos factores (2FA) y configurar cookies de sesión con SameSite=Lax o SameSite=Secure, y los atributos Secure y HttpOnly.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/10/2023

Vulnerabilidad en OAuth (CVE-2023-45144)
Fecha de publicación:
16/10/2023
Idioma:
Español
com.xwiki.identity-oauth:identity-oauth-ui es un paquete para ayudar a crear identidades y proveedores de servicios basados en autorizaciones OAuth. Cuando un usuario inicia sesión a través del método OAuth, los parámetros de identidadOAuth enviados en la solicitud GET son vulnerables a Cross-Site Scripting (XSS) y a la inyección de XWiki syntax. Esto permite la ejecución remota de código a través de la macro groovy y, por lo tanto, afecta la confidencialidad, integridad y disponibilidad de toda la instalación de XWiki. El problema se solucionó en Identity OAuth versión 1.6. No se conocen workarounds para esta vulnerabilidad y se recomienda a los usuarios que actualicen.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/10/2023

Vulnerabilidad en Discourse (CVE-2023-45147)
Fecha de publicación:
16/10/2023
Idioma:
Español
Discourse es una plataforma comunitaria de código abierto. En las versiones afectadas, cualquier usuario puede crear un tema y agregar campos personalizados arbitrarios a un tema. La gravedad de esta vulnerabilidad depende de los complementos instalados y de cómo los complementos utilizan los campos personalizados de temas. Para una instalación predeterminada de Discourse con los complementos predeterminados, esta vulnerabilidad no tiene ningún impacto. El problema se solucionó en la última versión de Discourse. Se recomienda a los usuarios que actualicen a la versión 3.1.1 si están en la rama estable o 3.2.0.beta2 si están en la rama beta. Los usuarios que no puedan actualizar deben deshabilitar los complementos que accedan a los campos personalizados del tema.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/11/2023

Vulnerabilidad en mooSocial 3.1.8 (CVE-2023-45542)
Fecha de publicación:
16/10/2023
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting en mooSocial 3.1.8 permite a un atacante remoto obtener información confidencial a través de un script manipulado para el parámetro q en la función de Search.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2023

Vulnerabilidad en IBM Db2 (CVE-2023-30987)
Fecha de publicación:
16/10/2023
Idioma:
Español
IBM Db2 para Linux, UNIX y Windows (incluyendo Db2 Connect Server) 10.5, 11.1 y 11.5 es vulnerable a la Denegación de Servicio con una consulta especialmente manipulada en determinadas bases de datos. ID de IBM X-Force: 253440.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2023

Vulnerabilidad en IBM Db2 (CVE-2023-38720)
Fecha de publicación:
16/10/2023
Idioma:
Español
IBM Db2 para Linux, UNIX y Windows (incluyendo Db2 Connect Server) 11.5 y 11.5 es vulnerable a la Denegación de Servicio con una declaración ALTER TABLE especialmente manipulada. ID de IBM X-Force: 261616.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2023

Vulnerabilidad en Phpgurukul User Registration & Login y User Management System (CVE-2023-40851)
Fecha de publicación:
16/10/2023
Idioma:
Español
Vulnerabilidad de Cross Site Scripting (XSS) en Phpgurukul User Registration & Login y User Management System con el panel de administración 3.0 permite a los atacantes ejecutar código arbitrario a través de los campos fname, lname, correo electrónico y contacto de la página de registro de usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2023
Suscribirse a Vulnerabilidades