Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-3034
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Reflected XSS affects the ‘mode’ parameter in the /admin functionality of the web application in versions
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2023

CVE-2023-32623
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Directory traversal vulnerability in Snow Monkey Forms v5.1.1 and earlier allows a remote unauthenticated attacker to delete arbitrary files on the server.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2023

CVE-2023-26134
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Versions of the package git-commit-info before 2.0.2 are vulnerable to Command Injection such that the package-exported method gitCommitInfo () fails to sanitize its parameter commit, which later flows into a sensitive command execution API. As a result, attackers may inject malicious commands once they control the hash content.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Plugin Subscribe2 para WordPress (CVE-2023-3407)
Fecha de publicación:
28/06/2023
Idioma:
Español
El plugin Subscribe2 para WordPress es vulnerable a ataques de tipo Cross-Site Request Forgery (CSRF) en versiones hasta la 10.40 inclusive. Esto se debe a la falta o incorrecta validación nonce al enviar correos electrónicos de prueba. Esto hace posible que los atacantes no autenticados envíen correos electrónicos de prueba con contenido personalizado en los sitios que ejecutan una versión vulnerable de este plugin a través de una petición falsificada pudiendo engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Plugin Subscribe2 para WordPress (CVE-2023-1844)
Fecha de publicación:
28/06/2023
Idioma:
Español
El plugin Subscribe2 para WordPress es vulnerable al acceso no autorizado a la funcionalidad de correo electrónico debido a la falta de una comprobación de capacidad al enviar correos electrónicos de prueba en versiones hasta la 10.40 inclusive. Esto se hace posible que los atacantes a nivel de autor envíen correos electrónicos con contenido arbitrario y archivos adjuntos a los usuarios del sitio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

CVE-2023-3330
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Improper Limitation of a Pathname to a Restricted Directory vulnerability in NEC Corporation Aterm WG2600HP2, WG2600HP, WG2200HP, WG1800HP2, WG1800HP, WG1400HP, WG600HP, WG300HP, WF300HP, WR9500N, WR9300N, WR8750N, WR8700N, WR8600N, WR8370N, WR8175N and WR8170N all versions allows a attacker to obtain specific files in the product.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/08/2023

CVE-2022-48505
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** This issue was addressed with improved data protection. This issue is fixed in macOS Ventura 13. An app may be able to modify protected parts of the file system
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/11/2024

CVE-2023-3331
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Improper Limitation of a Pathname to a Restricted Directory vulnerability in NEC Corporation Aterm Aterm WG2600HP2, WG2600HP, WG2200HP, WG1800HP2, WG1800HP, WG1400HP, WG600HP, WG300HP, WF300HP, WR9500N, WR9300N, WR8750N, WR8700N, WR8600N, WR8370N, WR8175N and WR8170N all versions allows a attacker to delete<br /> <br /> specific files in the product.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/07/2023

CVE-2023-3332
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation vulnerability in NEC Corporation Aterm Aterm WG2600HP2, WG2600HP, WG2200HP, WG1800HP2, WG1800HP, WG1400HP, WG600HP, WG300HP, WF300HP, WR9500N, WR9300N, WR8750N, WR8700N, WR8600N, WR8370N, WR8175N and WR8170N all versions allows a attacker to <br /> <br /> execute an arbitrary script, after obtaining a high privilege exploiting CVE-2023-3330 and CVE-2023-3331 vulnerabilities.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/07/2023

CVE-2023-3333
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Special Elements used in an OS Command vulnerability in NEC Corporation Aterm WG2600HP2, WG2600HP, WG2200HP, WG1800HP2, WG1800HP, WG1400HP, WG600HP, WG300HP, WF300HP, WR9500N, WR9300N, WR8750N, WR8700N, WR8600N, WR8370N, WR8175N and WR8170N all versions allows a attacker to execute an arbitrary OS command with the root privilege, after obtaining a high privilege exploiting CVE-2023-3330 and CVE-2023-3331 vulnerabilities.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/07/2023

CVE-2023-3427
Fecha de publicación:
28/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Salon Booking System plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 8.4.6. This is due to missing or incorrect nonce validation on the &amp;#39;save_customer&amp;#39; function. This makes it possible for unauthenticated attackers to change the admin role to customer or change the user meta to arbitrary values via a forged request, granted they can trick a site administrator into performing an action such as clicking on a link.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

CVE-2023-3327
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2023-35823. Reason: This candidate is a reservation duplicate of CVE-2023-35823. Notes: All CVE users should reference CVE-2023-35823 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades