Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2022-43863

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** IBM QRadar SIEM 7.4 and 7.5 is vulnerable to privilege escalation, allowing a user with some admin capabilities to gain additional admin capabilities. IBM X-Force ID: 239425.

Gravedad CVSS v3.1: ALTA

Última modificación:

07/11/2023

CVE-2023-27054

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** A cross-site scripting (XSS) vulnerability in MiroTalk P2P before commit f535b35 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Name parameter under the settings module.

Gravedad CVSS v3.1: MEDIA

Última modificación:

26/02/2025

CVE-2023-27060

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** LightCMS v1.3.7 was discovered to contain a remote code execution (RCE) vulnerability via the image:make function.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

26/02/2025

CVE-2023-28666

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** The InPost Gallery WordPress plugin, in versions

Gravedad CVSS v3.1: MEDIA

Última modificación:

25/02/2025

CVE-2023-28665

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** The Woo Bulk Price Update WordPress plugin, in versions

Gravedad CVSS v3.1: MEDIA

Última modificación:

25/02/2025

CVE-2023-28667

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** The Lead Generated WordPress Plugin, version

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

25/02/2025

CVE-2023-28664

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** The Meta Data and Taxonomies Filter WordPress plugin, in versions

Gravedad CVSS v3.1: MEDIA

Última modificación:

25/02/2025

CVE-2022-45004

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** Gophish through 0.12.1 was discovered to contain a cross-site scripting (XSS) vulnerability via a crafted landing page.

Gravedad CVSS v3.1: MEDIA

Última modificación:

26/02/2025

CVE-2023-28438

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** Pimcore is an open source data and experience management platform. Prior to version 10.5.19, since a user with &#39;report&#39; permission can already write arbitrary SQL queries and given the fact that this endpoint is using the GET method (no CSRF protection), an attacker can inject an arbitrary query by manipulating a user to click on a link. Users should upgrade to version 10.5.19 to receive a patch or, as a workaround, may apply the patch manually.

Gravedad CVSS v3.1: ALTA

Última modificación:

27/03/2023

CVE-2023-28439

Fecha de publicación:

22/03/2023

Idioma:

Inglés

*** Pendiente de traducción *** CKEditor4 is an open source what-you-see-is-what-you-get HTML editor. A cross-site scripting vulnerability has been discovered affecting Iframe Dialog and Media Embed packages. The vulnerability may trigger a JavaScript code after fulfilling special conditions: using one of the affected packages on a web page with missing proper Content Security Policy configuration; initializing the editor on an element and using an element other than `` as a base; and destroying the editor instance. This vulnerability might affect a small percentage of integrators that depend on dynamic editor initialization/destroy mechanism.<br /> <br /> A fix is available in CKEditor4 version 4.21.0. In some rare cases, a security fix may be considered a breaking change. Starting from version 4.21.0, the Iframe Dialog plugin applies the `sandbox` attribute by default, which restricts JavaScript code execution in the iframe element. To change this behavior, configure the `config.iframe_attributes` option. Also starting from version 4.21.0, the Media Embed plugin regenerates the entire content of the embed widget by default. To change this behavior, configure the `config.embed_keepOriginalContent` option. Those who choose to enable either of the more permissive options or who cannot upgrade to a patched version should properly configure Content Security Policy to avoid any potential security issues that may arise from embedding iframe elements on their web page.

Gravedad CVSS v3.1: MEDIA

Última modificación:

18/01/2024