Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2022-21939
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** Sensitive Cookie Without 'HttpOnly' Flag vulnerability in Johnson Controls System Configuration Tool (SCT) version 14 prior to 14.2.3 and version 15 prior to 15.0.3 could allow access to the cookie.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2023

CVE-2023-24689
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue in Mojoportal v2.7.0.0 and below allows an authenticated attacker to list all css files inside the root path of the webserver via manipulation of the "s" parameter in /DesignTools/ManageSkin.aspx
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2025

CVE-2023-24688
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue in Mojoportal v2.7.0.0 allows an unauthenticated attacker to register a new user even if the Allow User Registrations feature is disabled.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2025

CVE-2023-24687
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** Mojoportal v2.7.0.0 was discovered to contain a stored cross-site scripting (XSS) vulnerability in the Company Info Settings component. This vulnerability allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the txtCompanyName parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2025

CVE-2023-24323
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** Mojoportal v2.7 was discovered to contain an authenticated XML external entity (XXE) injection vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2025

CVE-2023-24322
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** A reflected cross-site scripting (XSS) vulnerability in the FileDialog.aspx component of mojoPortal v2.7.0.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the ed and tbi parameters.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2025

CVE-2023-22799
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** A ReDoS based DoS vulnerability in the GlobalID
Gravedad CVSS v3.1: ALTA
Última modificación:
16/02/2023

CVE-2023-22795
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** A regular expression based DoS vulnerability in Action Dispatch
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2024

CVE-2022-44571
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** There is a denial of service vulnerability in the Content-Disposition parsingcomponent of Rack fixed in 2.0.9.2, 2.1.4.2, 2.2.4.1, 3.0.0.1. This could allow an attacker to craft an input that can cause Content-Disposition header parsing in Rackto take an unexpected amount of time, possibly resulting in a denial ofservice attack vector. This header is used typically used in multipartparsing. Any applications that parse multipart posts using Rack (virtuallyall Rails applications) are impacted.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

CVE-2022-44572
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** A denial of service vulnerability in the multipart parsing component of Rack fixed in 2.0.9.2, 2.1.4.2, 2.2.4.1 and 3.0.0.1 could allow an attacker tocraft input that can cause RFC2183 multipart boundary parsing in Rack to take an unexpected amount of time, possibly resulting in a denial of service attack vector. Any applications that parse multipart posts using Rack (virtually all Rails applications) are impacted.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

CVE-2023-22798
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** Prior to commit 51867e0d15a6d7f80d5b714fd0e9976b9c160bb0, https://github.com/brave/adblock-lists removed redirect interceptors on some websites like Facebook in which the redirect interceptor may have been there for security purposes. This could potentially cause open redirects on these websites. Brave's redirect interceptor removal feature is known as "debouncing" and is intended to remove unnecessary redirects that track users across the web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

CVE-2023-23912
Fecha de publicación:
09/02/2023
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability, found in EdgeRouters Version 2.0.9-hotfix.5 and earlier and UniFi Security Gateways (USG) Version 4.4.56 and earlier with their DHCPv6 prefix delegation set to dhcpv6-stateless or dhcpv6-stateful, allows a malicious actor directly connected to the WAN interface of an affected device to create a remote code execution vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2025
Suscribirse a Vulnerabilidades