Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Web Directory Free para WordPress (CVE-2023-2201)
Fecha de publicación:
02/06/2023
Idioma:
Español
Web Directory Free para WordPress es vulnerable a la inyección SQL a través del parámetro "post_id" en las versiones hasta la 1.6.7 inclusive, debido a un escape insuficiente del parámetro suministrado por el usuario y a la falta de preparación suficiente de la consulta SQL existente. Esto hace posible que atacantes autenticados con privilegios de nivel de colaborador añadan consultas SQL adicionales a consultas ya existentes que pueden utilizarse para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

CVE-2022-45938
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Comcast Defined Technologies microeisbss through 2021. An attacker can inject a stored XSS payload in the Device ID field under Inventory Management to achieve Remote Code Execution and privilege escalation..
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2025

CVE-2015-10110
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability classified as problematic was found in ruddernation TinyChat Room Spy Plugin up to 1.2.8 on WordPress. This vulnerability affects the function wp_show_room_spy of the file room-spy.php. The manipulation of the argument room leads to cross site scripting. The attack can be initiated remotely. Upgrading to version 1.2.9 is able to address this issue. The name of the patch is ab72627a963d61fb3bc31018e3855b08dc94a979. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-230392.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

CVE-2016-15032
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** ** UNSUPPORTED WHEN ASSIGNED ** A vulnerability classified as problematic has been found in mback2k mh_httpbl Extension up to 1.1.7 on TYPO3. This affects the function stopOutput of the file class.tx_mhhttpbl.php. The manipulation of the argument $_SERVER['REMOTE_ADDR'] leads to cross site scripting. It is possible to initiate the attack remotely. Upgrading to version 1.1.8 is able to address this issue. The patch is named a754bf306a433a8c18b55e25595593e8f19b9463. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-230391. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2024

CVE-2023-28147
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in the Arm Mali GPU Kernel Driver. A non-privileged user can make improper GPU processing operations to gain access to already freed memory. This affects Midgard r29p0 through r32p0, Bifrost r17p0 through r42p0 before r43p0, Valhall r19p0 through r42p0 before r43p0, and Arm's GPU Architecture Gen5 r41p0 through r42p0 before r43p0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

CVE-2023-27640
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in the tshirtecommerce (aka Custom Product Designer) component 2.1.4 for PrestaShop. An HTTP request can be forged with the POST parameter type in the /tshirtecommerce/fonts.php endpoint, to allow a remote attacker to traverse directories on the system in order to open files (without restriction on the extension and path). The content of the file is returned with base64 encoding. This is exploited in the wild in March 2023.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2025

CVE-2023-29723
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Glitter Unicorn Wallpaper app for Android 7.0 thru 8.0 allows unauthorized applications to actively request permission to insert data into the database that records information about a user's personal preferences and will be loaded into memory to be read and used when the application is opened. By injecting data, the attacker can force the application to load malicious image URLs and display them in the UI. As the amount of data increases, it will eventually cause the application to trigger an OOM error and crash, resulting in a persistent denial of service attack.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

Vulnerabilidad en Glitter Unicorn Wallpaper (CVE-2023-29722)
Fecha de publicación:
01/06/2023
Idioma:
Español
La aplicación Glitter Unicorn Wallpaper para Android 7.0 a 8.0 permite a aplicaciones no autorizadas solicitar activamente permiso para modificar datos en la base de datos que registra información sobre las preferencias personales de un usuario y que se cargará en la memoria para ser leída y utilizada cuando se abra la aplicación. Un atacante podría manipular estos datos para provocar un ataque de escalada de privilegios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/01/2025

CVE-2023-29736
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Keyboard Themes 1.275.1.164 for Android contains a dictionary traversal vulnerability that allows unauthorized apps to overwrite arbitrary files in its internal storage and achieve arbitrary code execution.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/01/2025

CVE-2023-27639
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in the tshirtecommerce (aka Custom Product Designer) component 2.1.4 for PrestaShop. An HTTP request can be forged with the POST parameter file_name in the tshirtecommerce/ajax.php?type=svg endpoint, to allow a remote attacker to traverse directories on the system in order to open files (without restriction on the extension and path). Only files that can be parsed in XML can be opened. This is exploited in the wild in March 2023.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

CVE-2023-33764
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** eMedia Consulting simpleRedak up to v2.47.23.05 was discovered to contain a stored cross-site scripting (XSS) vulnerability via the component #/de/casting/show/detail/.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

CVE-2023-33754
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The captive portal in Inpiazza Cloud WiFi versions prior to v4.2.17 does not enforce limits on the number of attempts for password recovery, allowing attackers to brute force valid user accounts to gain access to login credentials.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025
Suscribirse a Vulnerabilidades