Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ADManager Plus de ManageEngine (CVE-2023-31492)
Fecha de publicación:
17/08/2023
Idioma:
Español
ADManager Plus versión 7182 y anteriores de ManageEngine de Zoho divulgaron las contraseñas predeterminadas para la restauración de cuentas de dominios no autorizadas a los usuarios autenticados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2024

Vulnerabilidad en Dispatch (CVE-2023-40171)
Fecha de publicación:
17/08/2023
Idioma:
Español
Dispatch es una herramienta de gestión de incidentes de seguridad de código abierto. La respuesta del servidor incluye la clave secreta JWT utilizada para firmar tokens JWT en el mensaje de error cuando el plugin `Dispatch Plugin - Basic Authentication Provider` encuentra un error al intentar decodificar un token JWT. Cualquier usuario de Dispatch que posea su propia instancia y confíe en el plugin `Dispatch Plugin - Basic Authentication Provider` para la autenticación puede verse afectado, permitiendo que cualquier cuenta sea tomada dentro de su propia instancia. Esto podría hacerse utilizando el secreto para firmar JWTs manipulados por atacantes. Si cree que puede verse afectado, le recomendamos encarecidamente que rote el secreto almacenado en la envvar `DISPATCH_JWT_SECRET` del archivo `.env`. Este problema se ha solucionado en el commit `b1942a4319` que se ha incluido en la versión `20230817`. Se recomienda a los usuarios que actualicen. No se conocen soluciones para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2023

Vulnerabilidad en el plugin WP BrowserUpdate de Marco Steinbrecher (CVE-2023-28690)
Fecha de publicación:
17/08/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) Almacenada en el plugin WP BrowserUpdate de Marco Steinbrecher que afecta a las versiones 4.5 e inferiores. Para explotar esta vulnerabilidad hace falta estar autenticado y tener permisos de administrador o superior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2023

Vulnerabilidad en el componente AcyMailing para Joomla (CVE-2023-39970)
Fecha de publicación:
17/08/2023
Idioma:
Español
Vulnerabilidad de carga no restringida de archivos de tipo peligroso en el componente AcyMailing para Joomla. Permite la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/08/2023

Vulnerabilidad en el componente AcyMailing Enterprise para Joomla (CVE-2023-39971)
Fecha de publicación:
17/08/2023
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web en el componente AcyMailing Enterprise para Joomla permite Cross-Site Scripting (XSS). Este problema afecta al componente AcyMailing Enterprise para Joomla: 6.7.0-8.6.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/12/2023

Vulnerabilidad en el componente AcyMailing Enterprise para Joomla (CVE-2023-39972)
Fecha de publicación:
17/08/2023
Idioma:
Español
Vulnerabilidad de control de acceso inadecuado en el componente AcyMailing Enterprise para Joomla. Permite a usuarios no autorizados crear nuevas listas de correo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2023

Vulnerabilidad en el componente AcyMailing Enterprise para Joomla (CVE-2023-39973)
Fecha de publicación:
17/08/2023
Idioma:
Español
Vulnerabilidad de control de acceso inadecuado en el componente AcyMailing Enterprise para Joomla. Permite la eliminación no autorizada de archivos adjuntos de las campañas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2023

Vulnerabilidad en el componente AcyMailing Enterprise para Joomla (CVE-2023-39974)
Fecha de publicación:
17/08/2023
Idioma:
Español
Vulnerabilidad de exposición de información sensible en el componente AcyMailing Enterprise para Joomla. Permite a actores no autorizados obtener el número de suscriptores de una lista específica.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2023

Vulnerabilidad en OpenNMS Horizon y Meridian (CVE-2023-40315)
Fecha de publicación:
17/08/2023
Idioma:
Español
En OpenNMS Horizon 31.0.8 y versiones anteriores a 32.0.2 y versiones Meridian relacionadas, cualquier usuario que tenga el ROLE_FILESYSTEM_EDITOR puede escalar fácilmente sus privilegios a ROLE_ADMIN o cualquier otro rol. La solución es actualizar a Meridian 2023.1.5 u Horizon 32.0.2 o posterior. Las instrucciones de instalación de Meridian y Horizon indican que están pensadas para su instalación dentro de las redes privadas de una organización y que no se debe acceder a ellas directamente desde Internet. OpenNMS da las gracias a Erik Wynter por informar de este problema.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2024

Vulnerabilidad en TurboWarp (CVE-2023-40168)
Fecha de publicación:
17/08/2023
Idioma:
Español
TurboWarp es una aplicación de escritorio que compila proyectos scratch a JavaScript. Las versiones de TurboWarp Desktop anteriores a la versión 1.8.0 permitían que un proyecto malicioso o una extensión personalizada leyeran archivos arbitrarios del disco y los cargaran en un servidor remoto. La única interacción requerida del usuario es abrir el archivo sb3 o cargar la extensión. La versión web de TurboWarp no está afectada. Este error ha sido corregido en el commit `55e07e99b59` después de una corrección inicial que fue revertida. Se recomienda a los usuarios actualizar a la versión 1.8.0 o posterior. Los usuarios que no puedan actualizarse deben evitar abrir archivos sb3 o cargar extensiones de fuentes no fiables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2023

Vulnerabilidad en J-Web de Juniper Networks Junos OS en la serie EX (CVE-2023-36844)
Fecha de publicación:
17/08/2023
Idioma:
Español
Una vulnerabilidad de modificación de variables externas de PHP en J-Web de Juniper Networks Junos OS en la serie EX permite a un atacante no autenticado basado en red controlar ciertas variables de entorno importantes. Mediante una solicitud falsificada, un atacante puede modificar determinadas variables de entorno de PHP, lo que conduce a una pérdida parcial de la integridad, que puede permitir el encadenamiento con otras vulnerabilidades. Este problema afecta al sistema operativo Junos de Juniper Networks en la serie EX: <br /> * Todas las versiones anteriores a 20.4R3-S9; <br /> * 21.1: versiones 21.1R1 y posteriores; <br /> * 21.2: versiones anteriores a 21.2R3-S7; <br /> * 21.3: versiones anteriores a 21.3R3-S5; <br /> * 21.4: versiones anteriores a 21.4R3-S5; <br /> * 22.1: versiones anteriores a 22.1R3-S4; <br /> * 22.2: versiones anteriores a 22.2R3-S2; <br /> * 22.3: versiones anteriores a 22.3R3-S1; <br /> * 22.4: versiones anteriores a 22.4R2-S2, 22.4R3; <br /> * 23.2: versiones anteriores a 23.2R1-S1, 23.2R2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2025

Vulnerabilidad en J-Web de Juniper Networks Junos OS en las series EX y SRX (CVE-2023-36845)
Fecha de publicación:
17/08/2023
Idioma:
Español
Una vulnerabilidad de modificación de variable externa PHP en J-Web de Juniper Networks Junos OS en las series EX y SRX permite a un atacante no autenticado basado en red ejecutar código de forma remota. Mediante una solicitud manipulada que establece la variable PHPRC, un atacante puede modificar el entorno de ejecución de PHP, lo que permite la inyección y ejecución de código. Este problema afecta al sistema operativo Junos de Juniper Networks en las series EX y SRX: <br /> * Todas las versiones anteriores a 20.4R3-S9; <br /> * 21.1: versiones 21.1R1 y posteriores; <br /> * 21.2: versiones anteriores a 21.2R3-S7; <br /> * 21.3: versiones anteriores a 21.3R3-S5; <br /> * 21.4: versiones anteriores a 21.4R3-S5; <br /> * 22.1: versiones anteriores a 22.1R3-S4; <br /> * 22.2: versiones anteriores a 22.2R3-S2; <br /> * 22.3: versiones anteriores a 22.3R2-S2, 22.3R3-S1; <br /> * 22.4: versiones anteriores a 22.4R2-S1, 22.4R3; <br /> * 23.2: versiones anteriores a 23.2R1-S1, 23.2R2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/10/2025
Suscribirse a Vulnerabilidades