Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-40937
Fecha de publicación:
05/09/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en disintegration Imaging (CVE-2023-36308)
Fecha de publicación:
05/09/2023
Idioma:
Español
disintegration Imaging 1.6.2 permite a los atacantes causar un modo pánico (debido a un índice entero fuera de rango durante una llamada Grayscale) a través del archivo TIFF a la función de escaneo de scanner.go. NOTA: no está claro si existen casos de uso comunes en los que este modo pánico podría tener alguna consecuencia de seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Plugin WordPress File Sharing (CVE-2023-4636)
Fecha de publicación:
05/09/2023
Idioma:
Español
El plugin WordPress File Sharing para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través de la configuración de administración en versiones hasta, e incluyendo, la 2.0.3 debido a la insuficiente sanitización de entrada y escape de salida. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y las instalaciones en las que se ha deshabilitado "unfiltered_html".
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en IBM Aspera Faspex (CVE-2023-22870)
Fecha de publicación:
05/09/2023
Idioma:
Español
IBM Aspera Faspex v5.0.5 transmite información sensible en texto claro que podría ser obtenida por un atacante utilizando técnicas de "man in the middle". IBM X-Force ID: 244121.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023

Vulnerabilidad en IBM Sterling Secure Proxy (CVE-2023-29261)
Fecha de publicación:
05/09/2023
Idioma:
Español
IBM Sterling Secure Proxy v6.0.3 y v6.1.0 podrían permitir a un usuario local con información específica sobre el sistema obtener información privilegiada debido a una limpieza inadecuada de la memoria durante las operaciones. ID de IBM X-Force: 252139.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023

Vulnerabilidad en IBM Aspera Faspex (CVE-2023-35906)
Fecha de publicación:
05/09/2023
Idioma:
Español
IBM Aspera Faspex v5.0.5 podría permitir a un atacante remoto saltarse las restricciones de IP debido a controles de acceso inadecuados. ID de IBM X-Force: 259649.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2024

Vulnerabilidad en IBM Security Guardium (CVE-2022-43903)
Fecha de publicación:
05/09/2023
Idioma:
Español
IBM Security Guardium v10.6, v11.3 y v11.4 podría permitir a un usuario autenticado provocar una denegación de servicio debido a una validación de entrada incorrecta. IBM X-Force ID: 240894.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023

Vulnerabilidad en IBM Sterling Secure Proxy e IBM Sterling External Authentication Server (CVE-2023-32338)
Fecha de publicación:
05/09/2023
Idioma:
Español
IBM Sterling Secure Proxy e IBM Sterling External Authentication Server v6.0.3 y v6.1.0 almacenan credenciales de usuario en texto claro que puede leer un usuario local con acceso al contenedor. IBM X-Force ID: 255585.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023

Vulnerabilidad en IBM Financial Transaction Manager for SWIFT Services (CVE-2023-35892)
Fecha de publicación:
05/09/2023
Idioma:
Inglés
*** Pendiente de traducción *** IBM Financial Transaction Manager for SWIFT Services 3.2.4 is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 258786.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/09/2023

Vulnerabilidad en Parse Server (CVE-2023-41058)
Fecha de publicación:
04/09/2023
Idioma:
Español
Parse Server es un servidor backend de código abierto. En las versiones afectadas, el disparador "beforeFind" de Parse Cloud no se invoca en determinadas condiciones de "Parse.Query". Esto puede suponer una vulnerabilidad para los despliegues en los que el disparador "beforeFind" se utiliza como capa de seguridad para modificar la consulta entrante. La vulnerabilidad se ha corregido mediante la refactorización de la canalización interna de consultas para conseguir una estructura de código más concisa y la aplicación de un parche para garantizar que se invoque el disparador "beforeFind". Esta corrección se introdujo en el commit "be4c7e23c6" y se ha incluido en las versiones 6.2.2 y 5.5.5. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizarse deberían utilizar las capas de seguridad del servidor de análisis sintáctico para gestionar los niveles de acceso con permisos de clase y control de acceso a nivel de objeto, que deberían utilizarse en lugar de las capas de seguridad personalizadas en los disparadores de Cloud Code.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2023

CVE-2023-3995
Fecha de publicación:
04/09/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority because it is a duplicate of CVE-2023-4147.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en hyper-bump-it (CVE-2023-41057)
Fecha de publicación:
04/09/2023
Idioma:
Inglés
*** Pendiente de traducción *** hyper-bump-it is a command line tool for updating the version in project files.`hyper-bump-it` reads a file glob pattern from the configuration file. That is combined with the project root directory to construct a full glob pattern that is used to find files that should be edited. These matched files should be contained within the project root directory, but that is not checked. This could result in changes being written to files outside of the project. The default behaviour of `hyper-bump-it` is to display the planned changes and prompt the user for confirmation before editing any files. However, the configuration file provides a field that can be used cause files to be edited without displaying the prompt. This issue has been fixed in release version 0.5.1. Users are advised to upgrade. Users that are unable to update from vulnerable versions, executing `hyper-bump-it` with the `--interactive` command line argument will ensure that all planned changes are displayed and prompt the user for confirmation before editing any files, even if the configuration file contains `show_confirm_prompt=true`.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023
Suscribirse a Vulnerabilidades