Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en LibreY (CVE-2023-41055)
Fecha de publicación:
04/09/2023
Idioma:
Inglés
*** Pendiente de traducción *** LibreY is a fork of LibreX, a framework-less and javascript-free privacy respecting meta search engine. LibreY is subject to a Server-Side Request Forgery (SSRF) vulnerability in the `engines/google/text.php` and `engines/duckduckgo/text.php` files in versions before commit be59098abd119cda70b15bf3faac596dfd39a744. This vulnerability allows remote attackers to request the server to send HTTP GET requests to arbitrary targets and conduct Denial-of-Service (DoS) attacks via the `wikipedia_language` cookie. Remote attackers can request the server to download large files to reduce the performance of the server or even deny access from legitimate users. This issue has been patched in https://github.com/Ahwxorg/LibreY/pull/9. LibreY hosters are advised to use the latest commit. There are no known workarounds for this vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2023

Vulnerabilidad en LibreY (CVE-2023-41054)
Fecha de publicación:
04/09/2023
Idioma:
Inglés
*** Pendiente de traducción *** LibreY is a fork of LibreX, a framework-less and javascript-free privacy respecting meta search engine. LibreY is subject to a Server-Side Request Forgery (SSRF) vulnerability in the `image_proxy.php` file of LibreY before commit 8f9b9803f231e2954e5b49987a532d28fe50a627. This vulnerability allows remote attackers to use the server as a proxy to send HTTP GET requests to arbitrary targets and retrieve information in the internal network or conduct Denial-of-Service (DoS) attacks via the `url` parameter. Remote attackers can use the server as a proxy to send HTTP GET requests and retrieve information in the internal network. Remote attackers can also request the server to download large files or chain requests among multiple instances to reduce the performance of the server or even deny access from legitimate users. This issue has been addressed in https://github.com/Ahwxorg/LibreY/pull/31. LibreY hosters are advised to use the latest commit. There are no known workarounds for this vulnerability.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/09/2023

Vulnerabilidad en Vyper (CVE-2023-41052)
Fecha de publicación:
04/09/2023
Idioma:
Inglés
*** Pendiente de traducción *** Vyper is a Pythonic Smart Contract Language. In affected versions the order of evaluation of the arguments of the builtin functions `uint256_addmod`, `uint256_mulmod`, `ecadd` and `ecmul` does not follow source order. This behaviour is problematic when the evaluation of one of the arguments produces side effects that other arguments depend on. A patch is currently being developed on pull request #3583. When using builtins from the list above, users should make sure that the arguments of the expression do not produce side effects or, if one does, that no other argument is dependent on those side effects.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023

Vulnerabilidad en Vyper (CVE-2023-40015)
Fecha de publicación:
04/09/2023
Idioma:
Español
Vyper es un Lenguaje de Contratos Inteligentes de Python. Para la siguiente lista de expresiones (probablemente no exhaustiva), el compilador evalúa los argumentos de derecha a izquierda en lugar de izquierda a derecha. "unsafe_add, unsafe_sub, unsafe_mul, unsafe_div, pow_mod256, |, &, ^ (bitwise operators), bitwise_or (deprecated), bitwise_and (deprecated), bitwise_xor (deprecated), raw_call, <, >, <=, >=, ==, !=, in, not in (cuando lhs y rhs son enums)". Este comportamiento se convierte en un problema cuando la evaluación de uno de los argumentos produce efectos secundarios de los que dependen otros argumentos. Las siguientes expresiones pueden producir efectos secundarios: llamada externa que modifica el estado, llamada interna que modifica el estado, "raw_call", "pop()" cuando se utiliza un array dinámico almacenado en el almacenamiento, "create_minimal_proxy_to", "create_copy_of" y "create_from_blueprint". Este problema aún no se ha solucionado. Se aconseja a los usuarios que se aseguren de que los argumentos de la expresión no producen efectos secundarios o, si alguno los produce, de que ningún otro argumento depende de esos efectos secundarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023

Vulnerabilidad en gpac/gpac de GitHub (CVE-2023-4758)
Fecha de publicación:
04/09/2023
Idioma:
Español
Se ha encontrado una lectura excesiva del búfer en el repositorio de GitHub gpac/gpac anterior a la versión 2.3-DEV.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2023

Vulnerabilidad en Dell Alienware (CVE-2023-28072)
Fecha de publicación:
04/09/2023
Idioma:
Español
El centro de comandos Dell Alienware, versiones anteriores a 5.5.51.0,contienen una vulnerabilidad de Deserialización de Datos no Confiables. Un usuario local malintencionado podría enviar solicitudes especialmente diseñadas al servidor remoto .NET para ejecutar código arbitrario en el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2023

Vulnerabilidad en GitHub (CVE-2023-4750)
Fecha de publicación:
04/09/2023
Idioma:
Español
Use After Free en el repositorio de GitHub vim/vim anterior a 9.0.1857.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2024

Vulnerabilidad en gpac/gpac de GitHub (CVE-2023-4755)
Fecha de publicación:
04/09/2023
Idioma:
Español
Use After Free en el repositorio de GitHub gpac/gpac anterior a la versión 2.3-DEV.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2023

Vulnerabilidad en GitHub (CVE-2023-4752)
Fecha de publicación:
04/09/2023
Idioma:
Español
Use After Free en el repositorio de GitHub vim/vim anterior a 9.0.1858.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en GitHub (CVE-2023-4733)
Fecha de publicación:
04/09/2023
Idioma:
Español
Use After Free en el repositorio de GitHub vim/vim anterior a 9.0.1840.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2024

Vulnerabilidad en Roundcube Password Recovery Plugin (CVE-2023-3222)
Fecha de publicación:
04/09/2023
Idioma:
Español
Se ha descubierto una vulnerabilidad en el mecanismo de recuperación de contraseñas del plugin Password Recovery para Roundcube, en su versión 1.2, que podría permitir a un atacante remoto cambiar la contraseña de un usuario existente añadiendo un token numérico de 6 dígitos. Un atacante podría crear un script automático para probar todos los valores posibles, ya que la plataforma no tiene límite en el número de peticiones.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2023

Vulnerabilidad en Roundcube Password Recovery Plugin (CVE-2023-3221)
Fecha de publicación:
04/09/2023
Idioma:
Español
Se ha descubierto una vulnerabilidad de enumeración de usuarios en el plugin Password Recovery versión 1.2 para Roundcube, que podría permitir a un atacante remoto crear un script de prueba contra la función de recuperación de contraseñas para enumerar todos los usuarios de la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023
Suscribirse a Vulnerabilidades