Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-3532

Fecha de publicación:

07/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** Cross-site Scripting (XSS) - Stored in GitHub repository outline/outline prior to 0.70.1.

Gravedad CVSS v3.1: MEDIA

Última modificación:

11/07/2023

Vulnerabilidad en IBM WebSphere Application Server (CVE-2023-35890)

Fecha de publicación:

07/07/2023

Idioma:

Español

IBM WebSphere Application Server v8.5 y v9.0 podrían proporcionar una seguridad más débil de lo esperado, causada por la codificación incorrecta en un archivo de configuración local. ID de IBM X-Force: 258637.

Gravedad CVSS v3.1: MEDIA

Última modificación:

12/07/2023

Vulnerabilidad en Bitcoin Core (CVE-2023-37192)

Fecha de publicación:

07/07/2023

Idioma:

Español

Los problemas de gestión de memoria y protección en Bitcoin Core v22 permiten a los atacantes modificar la dirección de envío almacenada en la memoria de la aplicación, lo que potencialmente les permite redirigir las transacciones de Bitcoin a los monederos de su elección.

Gravedad CVSS v3.1: ALTA

Última modificación:

17/07/2023

CVE-2023-34433

Fecha de publicación:

07/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** PiiGAB M-Bus stores passwords using a weak hash algorithm.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

14/07/2023

CVE-2023-35765

Fecha de publicación:

07/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** PiiGAB M-Bus stores credentials in a plaintext file, which could allow a low-level user to gain admin credentials.

Gravedad CVSS v3.1: MEDIA

Última modificación:

13/07/2023

CVE-2023-32652

Fecha de publicación:

07/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** PiiGAB M-Bus does not validate identification strings before processing, which could make it vulnerable to cross-site scripting attacks.

Gravedad CVSS v3.1: MEDIA

Última modificación:

13/07/2023

CVE-2023-35120

Fecha de publicación:

07/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** PiiGAB M-Bus is vulnerable to cross-site request forgery. An attacker who wants to execute a certain command could send a phishing mail to the owner of the device and hope that the owner clicks on the link. If the owner of the device has a cookie stored that allows the owner to be logged in, then the device could execute the GET or POST link request.

Gravedad CVSS v3.1: ALTA

Última modificación:

13/07/2023

CVE-2023-34995

Fecha de publicación:

07/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** There are no requirements for setting a complex password for PiiGAB M-Bus, which could contribute to a successful brute force attack if the password is inline with recommended password guidelines.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

13/07/2023

CVE-2023-36829

Fecha de publicación:

06/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** Sentry is an error tracking and performance monitoring platform. Starting in version 23.6.0 and prior to version 23.6.2, the Sentry API incorrectly returns the `access-control-allow-credentials: true` HTTP header if the `Origin` request header ends with the `system.base-hostname` option of Sentry installation. This only affects installations that have `system.base-hostname` option explicitly set, as it is empty by default. Impact is limited since recent versions of major browsers have cross-site cookie blocking enabled by default. However, this flaw could allow other multi-step attacks. The patch has been released in Sentry 23.6.2.

Gravedad CVSS v3.1: MEDIA

Última modificación:

17/07/2023

CVE-2023-36859

Fecha de publicación:

06/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** PiiGAB M-Bus SoftwarePack 900S does not correctly sanitize user input, which could allow an attacker to inject arbitrary commands.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

13/07/2023

CVE-2023-31277

Fecha de publicación:

06/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** PiiGAB M-Bus transmits credentials in plaintext format.

Gravedad CVSS v3.1: ALTA

Última modificación:

13/07/2023

CVE-2023-20899

Fecha de publicación:

06/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** VMware SD-WAN (Edge) contains a bypass authentication vulnerability. An unauthenticated attacker can download the Diagnostic bundle of the application under VMware SD-WAN Management.

Gravedad CVSS v3.1: ALTA

Última modificación:

14/07/2023

Suscribirse a Vulnerabilidades