Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en The Assistant WordPress (CVE-2023-5798)
Fecha de publicación:
26/10/2023
Idioma:
Español
El complemento The Assistant WordPress anterior a 1.4.4 no valida un parámetro antes de realizar una solicitud a través de wp_remote_get(), lo que podría permitir a los usuarios con un rol tan bajo como Editor realizar ataques SSRF.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en Obl.ong (CVE-2023-46754)
Fecha de publicación:
26/10/2023
Idioma:
Español
El panel de administración de Obl.ong anterior a la versión 1.1.2 permite omitir la autorización porque la función OTP de correo electrónico acepta valores numéricos arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Zephyr STM32 Crypto (CVE-2023-5139)
Fecha de publicación:
26/10/2023
Idioma:
Español
Posible vulnerabilidad de desbordamiento del búfer en la siguiente ubicación en el controlador Zephyr STM32 Crypto
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2024

Vulnerabilidad en FRRouting FRR (CVE-2023-46752)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió un problema en FRRouting FRR hasta la versión 9.0.1. Maneja mal los datos MP_REACH_NLRI con formato incorrecto, lo que provoca un bloqueo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en FRRouting FRR (CVE-2023-46753)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió un problema en FRRouting FRR hasta la versión 9.0.1. Puede ocurrir una falla para un mensaje de ACTUALIZACIÓN BGP manipulado sin atributos obligatorios, por ejemplo, uno con solo un atributo de tránsito desconocido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Clientes TLS, Beats, Elastic Agent, APM Server y Fleet Server (CVE-2023-31421)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que cuando actuaban como Clientes TLS, Beats, Elastic Agent, APM Server y Fleet Server no verificaban si el certificado del servidor es válido para la dirección IP de destino; sin embargo, aún se realiza la validación de la firma del certificado. Más específicamente, cuando el cliente está configurado para conectarse a una dirección IP (en lugar de un nombre de host), no valida los valores IP SAN del certificado del servidor con esa dirección IP y la validación del certificado falla y, por lo tanto, la conexión no se bloquea como se esperaba.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/02/2024

Vulnerabilidad en Kibana (CVE-2023-31422)
Fecha de publicación:
26/10/2023
Idioma:
Español
Elastic descubrió un problema por el cual se registra información confidencial en los registros de Kibana en caso de error. El problema afecta solo a la versión 8.10.0 de Kibana cuando se inicia sesión en el diseño JSON o cuando el diseño del patrón está configurado para registrar el patrón %meta. Elastic lanzó Kibana 8.10.1 que resuelve este problema. El objeto de error registrado en el log contiene información de solicitud, que puede incluir datos confidenciales, como credenciales de autenticación, cookies, encabezados de autorización, parámetros de consulta, rutas de solicitud y otros metadatos. Algunos ejemplos de datos confidenciales que se pueden incluir en los registros son las credenciales de cuenta para los usuarios finales de kibana_system, kibana-metricbeat o Kibana.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2023

Vulnerabilidad en FleetServer (CVE-2023-46667)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió un problema en Fleet Server en versiones >= v8.10.0 y < v8.10.3 donde los tokens de inscripción del agente se insertan en el archivo de registro del Fleet Server en texto plano. Estos tokens de inscripción podrían permitir que alguien inscriba a un agente en una política de agente y potencialmente usarlo para recuperar otros secretos en la política, incluso para Elasticsearch y servicios de terceros. Alternativamente, un actor de amenazas podría potencialmente inscribir agentes en los clústeres y enviar eventos arbitrarios a Elasticsearch.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2023

Vulnerabilidad en writecms v1.1.0 (CVE-2023-43905)
Fecha de publicación:
26/10/2023
Idioma:
Español
El control de acceso incorrecto en writecms v1.1.0 permite a los atacantes obtener directamente contraseñas de cuentas de backend a través de vectores no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2024

Vulnerabilidad en Xolo CMS v0.11 (CVE-2023-43906)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que Xolo CMS v0.11 contiene una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2023

Vulnerabilidad en Catdoc v0.95 (CVE-2023-46345)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que Catdoc v0.95 contenía una desreferencia de puntero NULL a través del componente xls2csv en src/xlsparse.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2023

Vulnerabilidad en Elastic Endpoint (CVE-2023-46668)
Fecha de publicación:
26/10/2023
Idioma:
Español
Si Elastic Endpoint (v7.9.0 - v8.10.3) está configurado para usar una opción no predeterminada en la que el nivel de log está configurado explícitamente en debug, y cuando Elastic Agent está configurado simultáneamente para recopilar y enviar esos registros a Elasticsearch, entonces las claves de API del Agente Elastic se pueden ver en Elasticsearch en texto plano. Estas claves API podrían usarse para escribir datos arbitrarios y leer artefactos de usuario de Elastic Endpoint.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/11/2023
Suscribirse a Vulnerabilidades