Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en CubeCart (CVE-2023-47675)
Fecha de publicación:
17/11/2023
Idioma:
Español
CubeCart anterior a 6.5.3 permite a un atacante remoto autenticado con privilegios administrativos ejecutar un comando arbitrario del sistema operativo.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2023

Vulnerabilidad en MISP (CVE-2023-48655)
Fecha de publicación:
17/11/2023
Idioma:
Español
Se descubrió un problema en MISP antes de la versión 2.4.176. app/Controller/Component/IndexFilterComponent.php no filtra correctamente los parámetros de consulta.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/10/2024

Vulnerabilidad en MISP (CVE-2023-48656)
Fecha de publicación:
17/11/2023
Idioma:
Español
Se descubrió un problema en MISP antes de la versión 2.4.176. app/Model/AppModel.php maneja mal las cláusulas de pedido.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2024

Vulnerabilidad en MISP (CVE-2023-48657)
Fecha de publicación:
17/11/2023
Idioma:
Español
Se descubrió un problema en MISP antes de la versión 2.4.176. app/Model/AppModel.php maneja mal los filtros.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2024

Vulnerabilidad en MISP (CVE-2023-48658)
Fecha de publicación:
17/11/2023
Idioma:
Español
Se descubrió un problema en MISP antes de la versión 2.4.176. app/Model/AppModel.php carece de una función checkParam para caracteres alfanuméricos, guiones bajos, guiones, puntos y espacios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2024

Vulnerabilidad en MISP (CVE-2023-48659)
Fecha de publicación:
17/11/2023
Idioma:
Español
Se descubrió un problema en MISP antes de la versión 2.4.176. app/Controller/AppController.php maneja mal el análisis de parámetros.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2024

Vulnerabilidad en Concrete CMS (CVE-2023-48648)
Fecha de publicación:
17/11/2023
Idioma:
Español
Concrete CMS anterior a 8.5.13 y 9.x anterior a 9.2.2 permite el acceso no autorizado porque se pueden crear directorios con permisos inseguros. Las funciones de creación de archivos (como la función Mkdir()) brindan acceso universal (0777) a las carpetas creadas de forma predeterminada. Se pueden otorgar permisos excesivos al crear un directorio con permisos superiores a 0755 o cuando no se especifica el argumento de permisos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/08/2024

Vulnerabilidad en Concrete CMS (CVE-2023-48649)
Fecha de publicación:
17/11/2023
Idioma:
Español
Concrete CMS anterior a 8.5.13 y 9.x anterior a 9.2.2 permite almacenar XSS en la página de Administración a través de un nombre de archivo cargado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/11/2023

Vulnerabilidad en Common-Services para PrestaShop (CVE-2023-45382)
Fecha de publicación:
17/11/2023
Idioma:
Español
En el módulo "SoNice Retour" (sonice_retour) hasta la versión 2.1.0 de Common-Services para PrestaShop, un invitado puede descargar información personal sin restricciones realizando un ataque de Path Traversal. Debido a la falta de control de permisos y a la falta de control en la construcción del nombre de la ruta, un invitado puede realizar un Path Traversal para ver todos los archivos en el sistema de información.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2024

Vulnerabilidad en MyPrestaModules para PrestaShop (CVE-2023-45387)
Fecha de publicación:
17/11/2023
Idioma:
Español
En el módulo "Product Catalog (CSV, Excel, XML) Export PRO" (exportproducts) en versiones hasta 5.0.0 de MyPrestaModules para PrestaShop, un invitado puede realizar una inyección SQL a través de `exportProduct::_addDataToDb().`
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/11/2023

Vulnerabilidad en OpenSupports v4.11.0 (CVE-2023-48031)
Fecha de publicación:
17/11/2023
Idioma:
Español
OpenSupports v4.11.0 es vulnerable a la carga sin restricciones de archivos con tipos peligrosos. En la función de comentario, un atacante puede eludir las restricciones de seguridad y cargar un archivo .bat manipulando los bytes mágicos del archivo para que se haga pasar por un tipo permitido. Esto puede permitir al atacante ejecutar código arbitrario o establecer un shell inverso, lo que lleva a escrituras de archivos no autorizadas o control sobre la estación de la víctima a través de una operación de carga de archivos manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/09/2025

Vulnerabilidad en Simple CRUD Functionality v1.0 (CVE-2023-48078)
Fecha de publicación:
17/11/2023
Idioma:
Español
Vulnerabilidad de inyección SQL en add.php en Simple CRUD Functionality v1.0 permite a atacantes ejecutar comandos SQL arbitrarios a través del parámetro 'title'.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/08/2024
Suscribirse a Vulnerabilidades