Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-38032)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función relacionada con la seguridad AiProtection de ASUS RT-AC86U no tiene suficiente filtrado de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-38033)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función heredada Statisctis en el Analizador de Tráfico no utilizado de ASUS RT-AC86U tiene un filtrado insuficiente de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-39236)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función de análisis Statistics en el Analizador de Tráfico ASUS RT-AC86U tiene un filtrado insuficiente de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-39237)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función de análisis Apps en el Analizador de Tráfico ASUS RT-AC86U tiene un filtrado insuficiente de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en answerdev/answer de Github (CVE-2023-4815)
Fecha de publicación:
07/09/2023
Idioma:
Español
Falta de Autenticación para la Función Crítica en el repositorio de GitHub answerdev/answer antes de la versión 1.1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-38031)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función Adaptive Qos - Web History de ASUS RT-AC86U tiene un filtrado insuficiente de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en Soar Cloud System Ltd. HR Portal (CVE-2023-34357)
Fecha de publicación:
07/09/2023
Idioma:
Español
Soar Cloud Ltd. HR Portal dispone de un mecanismo de recuperación de contraseñas débil para contraseñas olvidadas. El enlace de restablecimiento de contraseña se envía a través del correo electrónico, y el enlace seguirá siendo válido después de que la contraseña haya sido restablecida y después de la fecha de caducidad prevista. Un atacante con acceso al historial del navegador o al enlace puede así utilizar la URL de nuevo para cambiar la contraseña con el fin de hacerse cargo de la cuenta.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en Plugin Newsletter para WordPress (CVE-2023-4772)
Fecha de publicación:
07/09/2023
Idioma:
Español
El plugin Newsletter para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode "newsletter_form" en versiones hasta, e incluyendo, la 7.8.9 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Plugin Duplicate Post Page Menu & Custom Post Type (CVE-2023-4792)
Fecha de publicación:
07/09/2023
Idioma:
Español
El plugin Duplicate Post Page Menu & Custom Post Type para WordPress es vulnerable a la duplicación no autorizada de páginas y entradas debido a la falta de una comprobación de capacidad en la función "duplicate_ppmc_post_as_draft" en versiones hasta la 2.3.1 inclusive. Esto hace posible que atacantes autenticados con acceso a suscriptor o superior dupliquen entradas y páginas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Redis (CVE-2023-41053)
Fecha de publicación:
06/09/2023
Idioma:
Español
Redis es una base de datos en memoria que persiste en el disco. Redis no identifica correctamente las claves a las que accede `SORT_RO` y, como resultado, puede otorgar a los usuarios que ejecutan este comando acceso a claves que no están autorizadas explícitamente por la configuración de ACL. El problema existe en Redis 7.0 o posterior y se solucionó en Redis 7.0.13 y 7.2.1. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
16/09/2023

Vulnerabilidad en WireMock (CVE-2023-41327)
Fecha de publicación:
06/09/2023
Idioma:
Español
WireMock es una herramienta para imitar servicios HTTP. WireMock se puede configurar para permitir solo el proxy (y por lo tanto la grabación) en ciertas direcciones. Esto se logra mediante una lista de reglas de direcciones permitidas y una lista de reglas de direcciones denegadas, donde la lista permitida se evalúa primero. Hasta WireMock Webhooks Extension 3.0.0-beta-15, el filtrado de direcciones de destino desde el modo proxy NO funcionaba para Webhooks, por lo que los usuarios eran potencialmente vulnerables independientemente de la configuración de `limitProxyTargets`. A través de la configuración de los webhooks de WireMock, las solicitudes POST de un webhook pueden reenviarse a un servicio arbitrario accesible desde la instancia de WireMock. Por ejemplo, si alguien ejecuta el contenedor acoplable WireMock dentro de un clúster privado, puede activar solicitudes POST internas contra APIs no seguras o incluso contra APIs seguras pasando un token, descubierto mediante otro exploit, a través de encabezados de autenticación. Este problema se solucionó en las versiones 2.35.1 y 3.0.3 de wiremock. Wiremock Studio ha sido descontinuado y no se implementará un parche. Los usuarios que no puedan actualizar deben usar reglas de firewall externas para definir la lista de destinos permitidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2023

Vulnerabilidad en WireMock (CVE-2023-41329)
Fecha de publicación:
06/09/2023
Idioma:
Español
WireMock es una herramienta para imitar servicios HTTP. El modo proxy de WireMock se puede proteger mediante la configuración de restricciones de red, como se documenta en Preventing proxying y la grabación desde direcciones de destino específicas. Estas restricciones se pueden configurar utilizando los nombres de dominio y, en tal caso, la configuración es vulnerable a los ataques de vinculación de DNS. Se aplicó un parche similar en WireMock 3.0.0-beta-15 para las extensiones WireMock Webhook. La causa principal del ataque es un defecto en la lógica que permite una condición de ejecución desencadenada por un servidor DNS cuya dirección expira entre la validación inicial y la solicitud de red saliente que podría ir a un dominio que se suponía estaba prohibido. Se requiere control sobre un servicio DNS para explotar este ataque, por lo que tiene una alta complejidad de ejecución y un impacto limitado. Este problema se solucionó en la versión 2.35.1 de wiremock-jre8 y wiremock-jre8-standalone, la versión 3.0.3 de wiremock y wiremock-standalone, la versión 2.6.1 de la versión Python de wiremock y las versiones 2.35.1-1 y 3.0.3-1 del contenedor Docker wiremock/wiremock. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben configurar reglas de firewall para definir la lista de destinos permitidos o configurar WireMock para usar direcciones IP en lugar de nombres de dominio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2023
Suscribirse a Vulnerabilidades