Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-27499

Fecha de publicación:

11/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** SAP GUI for HTML - versions KERNEL 7.22, 7.53, 7.54, 7.77, 7.81, 7.85, 7.89, 7.91, KRNL64UC, 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT does not sufficiently encode user-controlled inputs, resulting in a reflected Cross-Site Scripting (XSS) vulnerability. An attacker could craft a malicious URL and lure the victim to click, the script supplied by the attacker will execute in the victim user&#39;s browser. The information from the victim&#39;s web browser can either be modified or read and sent to the attacker.<br /> <br />

Gravedad CVSS v3.1: MEDIA

Última modificación:

18/04/2023

CVE-2023-27497

Fecha de publicación:

11/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** Due to missing authentication and input sanitization of code the EventLogServiceCollector of SAP Diagnostics Agent - version 720, allows an attacker to execute malicious scripts on all connected Diagnostics Agents running on Windows. On successful exploitation, the attacker can completely compromise confidentiality, integrity and availability of the system.<br /> <br />

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

18/04/2023

CVE-2023-24182

Fecha de publicación:

11/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** LuCI openwrt-22.03 branch git-22.361.69894-438c598 was discovered to contain a stored cross-site scripting (XSS) vulnerability via the component /system/sshkeys.js.

Gravedad CVSS v3.1: MEDIA

Última modificación:

11/02/2025

CVE-2023-28341

Fecha de publicación:

11/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** Stored Cross site scripting (XSS) vulnerability in Zoho ManageEngine Applications Manager through 16340 allows an unauthenticated user to inject malicious javascript on the incorrect login details page.

Gravedad CVSS v3.1: MEDIA

Última modificación:

10/02/2025

CVE-2023-27191

Fecha de publicación:

11/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** An issue found in DUALSPACE Super Secuirty v.2.3.7 allows an attacker to cause a denial of service via the SharedPreference files.

Gravedad CVSS v3.1: ALTA

Última modificación:

11/02/2025

CVE-2023-28340

Fecha de publicación:

11/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** Zoho ManageEngine Applications Manager through 16320 allows the admin user to conduct an XXE attack.

Gravedad CVSS v3.1: MEDIA

Última modificación:

10/02/2025

CVE-2022-43293

Fecha de publicación:

11/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** Wacom Driver 6.3.46-1 for Windows was discovered to contain an arbitrary file write vulnerability via the component \Wacom\Wacom_Tablet.exe.

Gravedad CVSS v3.1: MEDIA

Última modificación:

11/02/2025

CVE-2022-38604

Fecha de publicación:

11/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** Wacom Driver 6.3.46-1 for Windows and lower was discovered to contain an arbitrary file deletion vulnerability.

Gravedad CVSS v3.1: ALTA

Última modificación:

11/02/2025

CVE-2023-26467

Fecha de publicación:

10/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** A man in the middle can redirect traffic to a malicious server in a compromised configuration.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/04/2023

CVE-2023-1668

Fecha de publicación:

10/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** A flaw was found in openvswitch (OVS). When processing an IP packet with protocol 0, OVS will install the datapath flow without the action modifying the IP header. This issue results (for both kernel and userspace datapath) in installing a datapath flow matching all IP protocols (nw_proto is wildcarded) for this flow, but with an incorrect action, possibly causing incorrect handling of other IP packets with a != 0 IP protocol that matches this dp flow.

Gravedad CVSS v3.1: ALTA

Última modificación:

23/04/2025

CVE-2023-29192

Fecha de publicación:

10/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** SilverwareGames.io versions before 1.2.19 allow users with access to the game upload panel to edit download links for games uploaded by other developers. This has been fixed in version 1.2.19.

Gravedad CVSS v3.1: MEDIA

Última modificación:

14/04/2023

CVE-2023-24721

Fecha de publicación:

10/04/2023

Idioma:

Inglés

*** Pendiente de traducción *** A cross-site scripting (XSS) vulnerability in LiveAction LiveSP v21.1.2 allows attackers to execute arbitrary web scripts or HTML.

Gravedad CVSS v3.1: MEDIA

Última modificación:

11/02/2025

Suscribirse a Vulnerabilidades