Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-34458
Fecha de publicación:
13/07/2023
Idioma:
Inglés
*** Pendiente de traducción *** mx-chain-go is the official implementation of the MultiversX blockchain protocol, written in golang. When executing a relayed transaction, if the inner transaction failed, it would have increased the inner transaction's sender account nonce. This could have contributed to a limited DoS attack on a targeted account. The fix is a breaking change so a new flag `RelayedNonceFixEnableEpoch` was needed. This was a strict processing issue while validating blocks on a chain. This vulnerability has been patched in version 1.4.17.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/07/2023

CVE-2023-30560
Fecha de publicación:
13/07/2023
Idioma:
Inglés
*** Pendiente de traducción *** The configuration from the PCU can be modified without authentication using physical connection to the PCU. <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/07/2023

CVE-2022-42045
Fecha de publicación:
13/07/2023
Idioma:
Inglés
*** Pendiente de traducción *** Certain Zemana products are vulnerable to Arbitrary code injection. This affects Watchdog Anti-Malware 4.1.422 and Zemana AntiMalware 3.2.28.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/11/2024

CVE-2023-30559
Fecha de publicación:
13/07/2023
Idioma:
Inglés
*** Pendiente de traducción *** The firmware update package for the wireless card is not properly signed and can be modified.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/02/2024

Vulnerabilidad en YSoft SAFEQ 6 Server (CVE-2023-35833)
Fecha de publicación:
13/07/2023
Idioma:
Español
** EN DISPUTA ** Se descubrió un problema en YSoft SAFEQ 6 Server antes de la versión 6.0.82. Al modificar la URL de la configuración del servidor LDAP de LDAPS a LDAP, el sistema no requiere que se (re)ingrese la contraseña. Esto da como resultado la exposición de credenciales en texto claro al conectarse a un servidor LDAP no autorizado. NOTA: el proveedor informó originalmente esto como un problema de seguridad, pero luego lo reconsideró debido al requisito de acceso de administrador para poder cambiar la configuración.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/08/2024

Vulnerabilidad en ImpressCMS (CVE-2023-37785)
Fecha de publicación:
13/07/2023
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en ImpressCMS v1.4.5 y anteriores permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro "smile_code" del componente "/editprofile.php".
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2023

Vulnerabilidad en Geeklog (CVE-2023-37786)
Fecha de publicación:
13/07/2023
Idioma:
Español
Múltiples vulnerabilidades de tipo Cross-Site Scripting (XSS) en Geeklog v2.2.2 permiten a los atacantes ejecutar scripts arbitrarios web o HTML a través de un payload manipulado inyectado en los parámetros "Mail Settings[backend]", "Mail Settings[host]", "Mail Settings[port]" y "Mail Settings[auth]" del fichero "/admin/configuration.php".
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2023

Vulnerabilidad en Geeklog (CVE-2023-37787)
Fecha de publicación:
13/07/2023
Idioma:
Español
Múltiples vulnerabilidades de tipo Cross-Site Scripting (XSS) en Geeklog v2.2.2 permiten a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en los parámetros "Rule" y "Route" de "/admin/router.php".
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2023

Vulnerabilidad en Maid Hiring Management System (CVE-2023-37746)
Fecha de publicación:
13/07/2023
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Maid Hiring Management System v1.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro "Title" del componente "/admin/contactus.php".
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2023

CVE-2023-30151
Fecha de publicación:
13/07/2023
Idioma:
Inglés
*** Pendiente de traducción *** A SQL injection vulnerability in the Boxtal (envoimoinscher) module for PrestaShop, after version 3.1.10, allows remote attackers to execute arbitrary SQL commands via the `key` GET parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2025

CVE-2023-37745
Fecha de publicación:
13/07/2023
Idioma:
Inglés
*** Pendiente de traducción *** A cross-site scripting (XSS) vulnerability in Maid Hiring Management System v1.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Page Description of the /admin/aboutus.php component.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2023

CVE-2023-37743
Fecha de publicación:
13/07/2023
Idioma:
Inglés
*** Pendiente de traducción *** A cross-site scripting (XSS) vulnerability in Teacher Subject Allocation System v1.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Search text box.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2023
Suscribirse a Vulnerabilidades