Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Kernel de Linux (CVE-2023-4244)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de use-after-free en el netfilter del kernel de Linux: nf_tables componente puede ser explotado para lograr la escalada de privilegios locales. Debido a una condición de ejecución entre nf_tables transacción del plano de control de enlace de red y la recolección de elementos no utilizados de nft_set, es posible desbordar el contador de referencia causando una vulnerabilidad de use-after-free. Recomendamos actualizar al commit anterior 3e91b0ebd994635df2346353322ac51ce84ce6d8.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en el kernel de Linux (CVE-2023-4208)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de Use After Free en el componente net/sched: cls_u32 del kernel de Linux puede ser explotada para conseguir una escalada local de privilegios. Cuando se llama a u32_change() en un filtro existente, toda la estructura tcf_result se copia siempre en la nueva instancia del filtro. Esto causa un problema cuando se actualiza un filtro vinculado a una clase, ya que tcf_unbind_filter() siempre llama a la instancia antigua en la ruta de éxito, disminuyendo filter_cnt de la clase aún referenciada y permitiendo que se elimine, lo que lleva a un Use After Free. Recomendamos actualizar el commit a partir de 3044b16e7c6fe5d24b1cdbcf1bd0a9d92d1ebd81.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Linux (CVE-2023-4207)
Fecha de publicación:
06/09/2023
Idioma:
Español
Se puede explotar una vulnerabilidad de use-after-free en el componente Linux kernel's net/sched: cls_fw para conseguir una escalada local de privilegios. Cuando se llama a fw_change() en un filtro existente, toda la estructura tcf_result se copia siempre en la nueva instancia del filtro.Esto causa un problema cuando se actualiza un filtro vinculado a una clase, ya que tcf_unbind_filter() siempre llama a la instancia antigua en la ruta de éxito, disminuyendo filter_cnt de la clase aún referenciada y permitiendo que se elimine, lo que lleva a un Use After Free. Recomendamos actualizar el commit a partir de 76e42ae831991c828cffa8c37736ebfb831ad5ec.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Kernel de Linux (CVE-2023-3777)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de Use-After-Free en el componente netfilter: nf_tables del kernel de Linux puede explotarse para lograr una escalada de privilegios local. Cuando nf_tables_delrule() vacía las reglas de la tabla, no se verifica si la cadena está vinculada y la regla del propietario de la cadena también puede liberar los objetos en determinadas circunstancias. Recomendamos actualizar al pasado commit 6eaf41e87a223ae6f8e7a28d6e78384ad7e407f8.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2025

Vulnerabilidad en Apache Superset (CVE-2023-32672)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una comprobación de autorización incorrecta en SQLLab en las versiones de Apache Superset hasta 2.1.0 incluida. Esta vulnerabilidad permite a un usuario autenticado consultar tablas a las que no tiene acceso adecuado dentro de Superset. La vulnerabilidad puede ser explotada aprovechando una vulnerabilidad de análisis SQL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2023

Vulnerabilidad en Apache Superset (CVE-2023-37941)
Fecha de publicación:
06/09/2023
Idioma:
Español
Si un atacante obtiene acceso de escritura a la base de datos de metadatos de Apache Superset, podría conservar un objeto Python específicamente manipulado que puede conducir a la ejecución remota de código en el backend web de Superset. La base de datos de metadatos del Superset es un componente "interno" al que normalmente solo pueden acceder directamente el administrador del sistema y el propio proceso del Superset. Obtener acceso a esa base de datos debería ser difícil y requerir importantes privilegios. Esta vulnerabilidad afecta a las versiones 1.5.0 de Apache Superset hasta la 2.1.0 incluida. Se recomienda a los usuarios actualizar a la versión 2.1.1 o posterior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en Apache Superset (CVE-2023-39265)
Fecha de publicación:
06/09/2023
Idioma:
Español
Apache Superset permitiría que las conexiones de bases de datos SQLite se registraran incorrectamente cuando un atacante utiliza nombres de controladores alternativos como sqlite+pysqlite o utiliza importaciones de bases de datos. Esto podría permitir la creación inesperada de archivos en los servidores web Superset. Además, si Apache Superset utiliza una base de datos SQLite para sus metadatos (no recomendado para uso en producción), podría generar vulnerabilidades más graves relacionadas con la confidencialidad y la integridad. Esta vulnerabilidad existe en las versiones de Apache Superset hasta la 2.1.0 incluida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2023

Vulnerabilidad en Adobe Media Encoder (CVE-2021-36060)
Fecha de publicación:
06/09/2023
Idioma:
Español
Adobe Media Encoder versión 15.2 (y anteriores) está afectado por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria sensible. Un atacante podría aprovechar esta vulnerabilidad para omitir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario en el sentido de que una víctima debe abrir un archivo malicioso.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2023

Vulnerabilidad en Acrobat Reader DC (CVE-2021-39859)
Fecha de publicación:
06/09/2023
Idioma:
Español
Las versiones 2021.005.20060 (y anteriores), 2020.004.30006 (y anteriores) y 2017.011.30199 (y anteriores) de Acrobat Reader DC están afectadas por una vulnerabilidad de use-after-free que podría provocar la divulgación de memoria sensible. Un atacante podría aprovechar esta vulnerabilidad para omitir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, en el sentido de que una víctima debe abrir un archivo malicioso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2023

Vulnerabilidad en Magento (CVE-2021-36036)
Fecha de publicación:
06/09/2023
Idioma:
Español
Las versiones 2.4.2 (y anteriores), 2.4.2-p1 (y anteriores) y 2.3.7 (y anteriores) de Magento están afectadas por una vulnerabilidad de control de acceso incorrecta dentro del flujo de trabajo de Magento&amp;#39;s Media Gallery Upload. Al almacenar un archivo especialmente manipulado en la galería del sitio web, un atacante autenticado con privilegios administrativos puede obtener acceso para eliminar el archivo .htaccess. Esto podría provocar que el atacante logre la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2023

Vulnerabilidad en Magento Commerce (CVE-2021-36023)
Fecha de publicación:
06/09/2023
Idioma:
Español
Las versiones 2.4.2 (y anteriores), 2.4.2-p1 (y anteriores) y 2.3.7 (y anteriores) de Magento Commerce están afectadas por una vulnerabilidad de inyección XML en el diseño de actualización de widgets. Un atacante con privilegios de administrador puede desencadenar un script especialmente manipulado para lograr la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2023

Vulnerabilidad en Acrobat Reader DC (CVE-2021-21088)
Fecha de publicación:
06/09/2023
Idioma:
Español
Las versiones 2020.013.20074 (y anteriores), 2020.001.30018 (y anteriores) y 2017.011.30188 (y anteriores) de Acrobat Reader DC están afectadas por una vulnerabilidad de use-after-free. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, en el sentido de que una víctima debe abrir un archivo malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023
Suscribirse a Vulnerabilidades