Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-24537
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Calling any of the Parse functions on Go source code which contains //line directives with very large line numbers can cause an infinite loop due to integer overflow.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2025

CVE-2023-24538
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Templates do not properly consider backticks (`) as Javascript string delimiters, and do not escape them as expected. Backticks are used, since ES6, for JS template literals. If a template contains a Go template action within a Javascript template literal, the contents of the action can be used to terminate the literal, injecting arbitrary Javascript code into the Go template. As ES6 template literals are rather complex, and themselves can do string interpolation, the decision was made to simply disallow Go template actions from being used inside of them (e.g. "var a = {{.}}"), since there is no obviously safe way to allow this behavior. This takes the same approach as github.com/google/safehtml. With fix, Template.Parse returns an Error when it encounters templates like this, with an ErrorCode of value 12. This ErrorCode is currently unexported, but will be exported in the release of Go 1.21. Users who rely on the previous behavior can re-enable it using the GODEBUG flag jstmpllitinterp=1, with the caveat that backticks will now be escaped. This should be used with caution.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/02/2025

Vulnerabilidad en ARM (CVE-2023-26083)
Fecha de publicación:
06/04/2023
Idioma:
Español
La vulnerabilidad de pérdida de memoria en el controlador del kernel de GPU de Mali en el controlador del kernel de GPU de Midgard todas las versiones de r6p0 a r32p0, el controlador del kernel de GPU de Bifrost todas las versiones de r0p0 a r42p0, el controlador del kernel de GPU de Valhall todas las versiones de r19p0 a r42p0 y el controlador del kernel de GPU de Avalon todas las versiones de r41p0 a r42p0 permite que un usuario sin privilegios realice operaciones de procesamiento de GPU válidas que exponen metadatos confidenciales del kernel.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

CVE-2020-36073
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** SQL injection vulnerability found in Tailor Management System v.1 allows a remote attacker to execute arbitrary code via the detail parameter of the document.php page.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2025

CVE-2020-36071
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** SQL injection vulnerability found in Tailor Management System v.1 allows a remote authenticated attacker to execute arbitrary code via the customer parameter of the email.php page.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2025

CVE-2020-36072
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** SQL injection vulnerability found in Tailor Management System v.1 allows a remote attacker to execute arbitrary code via the id parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2025

CVE-2023-22985
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Sourcecodester Simple Guestbook Management System version 1 is vulnerable to Cross Site Scripting (XSS) via Name, Referrer, Location, and Comments.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

CVE-2023-1913
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Maps Widget for Google Maps for WordPress is vulnerable to Stored Cross-Site Scripting via widget settings in versions up to, and including, 4.24 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2023-1912
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Limit Login Attempts plugin for WordPress is vulnerable to Stored Cross-Site Scripting via its lock logging feature in versions up to, and including, 1.7.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever an administrator accesses the plugin's settings page. This only works when the plugin prioritizes use of the X-FORWARDED-FOR header, which can be configured in its settings.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2020-36074
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** SQL injection vulnerability found in Tailor Mangement System v.1 allows a remote attacker to execute arbitrary code via the title parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

CVE-2023-25062
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in PINPOINT.WORLD Pinpoint Booking System plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2023-24396
Fecha de publicación:
06/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in E4J s.R.L. VikBooking Hotel Booking Engine & PMS plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades