Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en D-Tale (CVE-2023-46134)
Fecha de publicación:
25/10/2023
Idioma:
Español
D-Tale es la combinación de un back-end de Flask y un front-end de React para ver y analizar las estructuras de datos de Pandas. Antes de la versión 3.7.0, los usuarios que alojaban D-Tale públicamente podían ser vulnerables a la ejecución remota de código, lo que permitía a los atacantes ejecutar código malicioso en el servidor. Este problema se solucionó en la versión 3.7.0 desactivando la entrada "Filtro personalizado" de forma predeterminada. El único workaround para versiones anteriores a la 3.7.0 es alojar D-Tale únicamente para usuarios confiables.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/11/2023

Vulnerabilidad en crypto-js (CVE-2023-46233)
Fecha de publicación:
25/10/2023
Idioma:
Español
crypto-js es una librería JavaScript de estándares criptográficos. Antes de la versión 4.2.0, crypto-js PBKDF2 era 1000 veces más débil de lo especificado originalmente en 1993 y al menos 1.300.000 veces más débil que el estándar actual de la industria. Esto se debe a que su valor predeterminado es SHA1, un algoritmo hash criptográfico considerado inseguro desde al menos 2005, y su valor predeterminado es una única iteración, un valor de "fuerza" o "dificultad" especificado en 1000 cuando se especificó en 1993. PBKDF2 se basa en el recuento de iteraciones como una contramedida a los ataques de preimagen y colisión. Si se utiliza para proteger contraseñas, el impacto es alto. Si se utiliza para generar firmas, el impacto es alto. La versión 4.2.0 contiene un parche para este problema. Como workaround, configure crypto-js para usar SHA256 con al menos 250 000 iteraciones.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/11/2023

Vulnerabilidad en Twisted (CVE-2023-46137)
Fecha de publicación:
25/10/2023
Idioma:
Español
Twisted es un framework basado en eventos para aplicaciones de Internet. Antes de la versión 23.10.0rc1, al enviar múltiples solicitudes HTTP en un paquete TCP, twisted.web procesará las solicitudes de forma asincrónica sin garantizar el orden de respuesta. Si uno de los endpoints está controlado por un atacante, el atacante puede retrasar la respuesta a propósito para manipular la respuesta de la segunda solicitud cuando una víctima lanzó dos solicitudes utilizando una canalización HTTP. La versión 23.10.0rc1 contiene un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en Nginx (CVE-2023-5043)
Fecha de publicación:
25/10/2023
Idioma:
Español
La inyección de anotaciones de Ingress nginx provoca la ejecución de comandos arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Nginx (CVE-2023-5044)
Fecha de publicación:
25/10/2023
Idioma:
Español
Inyección de código a través de la anotación nginx.ingress.kubernetes.io/permanent-redirect.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en xorg-x11-server-Xvfb (CVE-2023-5574)
Fecha de publicación:
25/10/2023
Idioma:
Español
Se encontró una falla de use-after-free en xorg-x11-server-Xvfb. Este problema ocurre en Xvfb con una configuración heredada muy específica (una configuración de pantalla múltiple con múltiples pantallas de protocolo, también conocida como modo Zaphod). Si el puntero se deforma de una pantalla 1 a una pantalla 0, se puede desencadenar un problema de use-after-free durante el apagado o reinicio del servidor Xvfb, lo que permite una posible escalada de privilegios o denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/09/2024

Vulnerabilidad en xorg-x11 (CVE-2023-5367)
Fecha de publicación:
25/10/2023
Idioma:
Español
Se encontró una falla de escritura fuera de los límites en el servidor xorg-x11. Este problema ocurre debido a un cálculo incorrecto de un desplazamiento del búfer al copiar datos almacenados en el montón en la función XIChangeDeviceProperty en Xi/xiproperty.c y en la función RRChangeOutputProperty en randr/rrproperty.c, lo que permite una posible escalada de privilegios o Denegación de Servicio (DoS). .
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en xorg-x11 (CVE-2023-5380)
Fecha de publicación:
25/10/2023
Idioma:
Español
Se encontró una falla de use-after-free en el servidor xorg-x11. Puede ocurrir una falla del servidor X en una configuración muy específica y heredada (una configuración de múltiples pantallas con múltiples pantallas de protocolo, también conocida como modo Zaphod) si el puntero se deforma desde dentro de una ventana en una pantalla a la ventana raíz de la otra pantalla y si la ventana original se destruye y luego se destruye otra ventana.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en XWiki Platform (CVE-2023-45136)
Fecha de publicación:
25/10/2023
Idioma:
Español
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. Cuando los nombres de los documentos se validan según una estrategia de nombres (deshabilitada de forma predeterminada), XWiki a partir de la versión 12.0-rc-1 y anteriores a las versiones 12.10.12 y 15.5-rc-1 es vulnerable a un ataque de Cross-Site Scripting (XSS) Reflejado en el formulario de creación de página. Esto permite a un atacante ejecutar acciones arbitrarias con los derechos del usuario que abre el enlace malicioso. Dependiendo de los derechos del usuario, esto puede permitir la ejecución remota de código y acceso completo de lectura y escritura a toda la instalación de XWiki. Esto se ha parcheado en XWiki 14.10.12 y 15.5-rc-1 agregando el escape apropiado. El archivo de plantilla vulnerable `createinline.vm` es parte de WAR de XWiki y se puede parchear aplicando manualmente los cambios de la solución.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/11/2023

Vulnerabilidad en TOTOLINK X6000R (CVE-2023-46408)
Fecha de publicación:
25/10/2023
Idioma:
Español
Se descubrió que TOTOLINK X6000R v9.4.0cu.652_B20230116 contiene una vulnerabilidad de ejecución de comandos a través de la función sub_ The 41DD80.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/11/2023

Vulnerabilidad en TOTOLINK X6000R (CVE-2023-46409)
Fecha de publicación:
25/10/2023
Idioma:
Español
Se descubrió que TOTOLINK X6000R v9.4.0cu.652_B20230116 contiene una vulnerabilidad de ejecución de comandos a través de la función sub_41CC04.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/11/2023

Vulnerabilidad en TOTOLINK X6000R (CVE-2023-46410)
Fecha de publicación:
25/10/2023
Idioma:
Español
Se descubrió que TOTOLINK X6000R v9.4.0cu.652_B20230116 contiene una vulnerabilidad de ejecución de comandos a través de la función sub_ The 416F60.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/11/2023
Suscribirse a Vulnerabilidades