Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en tsMuxer (CVE-2024-52613)
Fecha de publicación:
14/11/2024
Idioma:
Español
Un búfer basado en montón subleído en tsMuxer versión nightly-2024-05-12-02-01-18 permite a los atacantes provocar una denegación de servicio (DoS) a través de un archivo de video MOV manipulado específicamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/11/2024

Vulnerabilidad en 07FLYCMS V1.3.9 (CVE-2024-51156)
Fecha de publicación:
14/11/2024
Idioma:
Español
Se descubrió que 07FLYCMS V1.3.9 contenía una Cross-Site Request Forgery (CSRF) a través del componente 'erp.07fly.net:80/admin/SysNotifyUser/del.html?id=93'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2025

Vulnerabilidad en Henrik Hoff WP Course Manager (CVE-2024-51658)
Fecha de publicación:
14/11/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Henrik Hoff WP Course Manager permite XSS almacenado. Este problema afecta a WP Course Manager: desde n/a hasta 1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/11/2024

Vulnerabilidad en Twitter @Anywhere Plus de GeekRMX (CVE-2024-51659)
Fecha de publicación:
14/11/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Twitter @Anywhere Plus de GeekRMX permite XSS almacenado. Este problema afecta a Twitter @Anywhere Plus: desde n/a hasta 2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/11/2024

Vulnerabilidad en GentleSource Appointmind (CVE-2024-51679)
Fecha de publicación:
14/11/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en GentleSource Appointmind permite XSS almacenado. Este problema afecta a Appointmind: desde n/a hasta 4.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/11/2024

Vulnerabilidad en the Add to Cart function of itsourcecode Agri-Trading Online Shopping System 1.0 (CVE-2024-50968)
Fecha de publicación:
14/11/2024
Idioma:
Español
Existe una vulnerabilidad de lógica empresarial en the Add to Cart function of itsourcecode Agri-Trading Online Shopping System 1.0, que permite a atacantes remotos manipular el parámetro quant al agregar un producto al carrito. Al establecer el valor de cantidad en -0, un atacante puede explotar una falla en la lógica de cálculo del precio total de la aplicación. Esta vulnerabilidad hace que el precio total se reduzca a cero, lo que permite al atacante agregar artículos al carrito y proceder al pago.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/11/2024

Vulnerabilidad en Baxter (CVE-2024-48970)
Fecha de publicación:
14/11/2024
Idioma:
Español
El microcontrolador del respirador carece de protección de memoria. Un atacante podría conectarse a la interfaz JTAG interna y leer o escribir en la memoria flash mediante una herramienta de depuración comercial, lo que podría interrumpir el funcionamiento del dispositivo o provocar la divulgación no autorizada de información.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2024

Vulnerabilidad en Baxter (CVE-2024-48971)
Fecha de publicación:
14/11/2024
Idioma:
Español
La contraseña del médico y el número de serie están codificados en el respirador en formato de texto simple. Esto podría permitir que un atacante obtenga la contraseña del respirador y la use para obtener acceso no autorizado al dispositivo con privilegios de médico.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2024

Vulnerabilidad en Baxter (CVE-2024-48973)
Fecha de publicación:
14/11/2024
Idioma:
Español
El puerto de depuración de la interfaz serial del respirador está habilitado de manera predeterminada. Esto podría permitir que un atacante envíe y reciba mensajes a través del puerto de depuración (que no están cifrados; consulte 3.2.1) que resulten en la divulgación no autorizada de información o tengan impactos no deseados en la configuración y el rendimiento del dispositivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2024

Vulnerabilidad en Baxter (CVE-2024-48974)
Fecha de publicación:
14/11/2024
Idioma:
Español
El respirador no realiza comprobaciones adecuadas de la integridad de los archivos al adoptar actualizaciones de firmware. Esto hace posible que un atacante fuerce cambios no autorizados en la configuración del dispositivo o comprometa la funcionalidad del dispositivo al introducir un archivo de firmware comprometido o ilegítimo. Esto podría interrumpir el funcionamiento del dispositivo o provocar la divulgación no autorizada de información.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2024

Vulnerabilidad en Baxter (CVE-2024-48966)
Fecha de publicación:
14/11/2024
Idioma:
Español
Las herramientas de software que utiliza el personal de servicio para probar y calibrar el respirador no admiten la autenticación de usuarios. Un atacante con acceso a la PC de servicio donde están instaladas las herramientas podría obtener información de diagnóstico a través de la herramienta de prueba o manipular la configuración del respirador y el software integrado a través de la herramienta de calibración, sin tener que autenticarse en ninguna de las herramientas. Esto podría dar lugar a una divulgación no autorizada de información o tener efectos no deseados en la configuración y el rendimiento del dispositivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2024

Vulnerabilidad en Baxter (CVE-2024-48967)
Fecha de publicación:
14/11/2024
Idioma:
Español
El respirador y la PC de servicio carecen de capacidades de registro de auditoría suficientes para permitir la detección de actividad maliciosa y el posterior examen forense. Un atacante con acceso al respirador o a la PC de servicio podría, sin ser detectado, realizar cambios no autorizados en la configuración del respirador que resulten en la divulgación no autorizada de información o tengan impactos no deseados en el rendimiento del dispositivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2024
Suscribirse a Vulnerabilidades