Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Priva TopControl Suite (CVE-2022-3010)

Fecha de publicación:
02/01/2024
Idioma:
Español
Priva TopControl Suite contiene credenciales predecibles para el servicio SSH, basadas en el número de serie. Lo que hace posible que un atacante calcule las credenciales de inicio de sesión para la suite Priva TopControll.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2024

Vulnerabilidad en RRJ Nueva Ecija Engineer Online Portal 1.0 (CVE-2024-0189)

Fecha de publicación:
02/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en RRJ Nueva Ecija Engineer Online Portal 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo teacher_message.php del componente Create Message Handler. La manipulación del argumento Content con la entrada conduce a cross site scripting. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-249502 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en kernel de Linux (CVE-2024-0193)

Fecha de publicación:
02/01/2024
Idioma:
Español
Se encontró un fallo de use after free en el subsistema netfilter del kernel de Linux. Si el elemento general se recolecta como basura cuando se retira el conjunto de pipapo, el elemento se puede desactivar dos veces. Esto puede causar un problema de use-after-free en un objeto NFT_CHAIN o NFT_OBJECT, lo que permite a un usuario local sin privilegios escalar sus privilegios en el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2024

Vulnerabilidad en Silicon Labs TrustZone (CVE-2023-4280)

Fecha de publicación:
02/01/2024
Idioma:
Español
Una entrada no validada en la implementación de Silicon Labs TrustZone en v4.3.x y versiones anteriores del SDK de Gecko permite a un atacante acceder a la región confiable de la memoria desde la región que no es confiable.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/09/2024

CVE-2023-48721

Fecha de publicación:
02/01/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
02/01/2024

Vulnerabilidad en Acumos Design Studio (CVE-2018-25097)

Fecha de publicación:
02/01/2024
Idioma:
Español
Una vulnerabilidad clasificada como problemática fue encontrada en Acumos Design Studio hasta 2.0.7. Una función desconocida es afectada por esta función. La manipulación conduce a cross site scripting. Es posible lanzar el ataque de forma remota. La actualización a la versión 2.0.8 puede solucionar este problema. El nombre del parche es 0df8a5e8722188744973168648e4c74c69ce67fd. Se recomienda actualizar el componente afectado. El identificador de esta vulnerabilidad es VDB-249420.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en RRJ Nueva Ecija Engineer Online Portal 1.0 (CVE-2024-0188)

Fecha de publicación:
02/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en RRJ Nueva Ecija Engineer Online Portal 1.0 y clasificada como problemática. Esto afecta a una parte desconocida del archivo change_password_teacher.php. La manipulación conduce a requisitos de contraseña débiles. Es posible iniciar el ataque de forma remota. La complejidad de un ataque es bastante alta. Se dice que la explotabilidad es difícil. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-249501.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2024

Vulnerabilidad en Zimbra zm-ajax (CVE-2017-20188)

Fecha de publicación:
02/01/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Zimbra zm-ajax hasta 8.8.1 y clasificada como problemática. La función XFormItem.prototype.setError del archivo WebRoot/js/ajax/dwt/xforms/XFormItem.js es afectada por esta vulnerabilidad. La manipulación del mensaje de argumento conduce a cross site scripting. El ataque se puede lanzar de forma remota. La complejidad de un ataque es bastante alta. La explotación parece difícil. La actualización a la versión 8.8.2 puede solucionar este problema. El identificador del parche es 8d039d6efe80780adc40c6f670c06d21de272105. Se recomienda actualizar el componente afectado. A esta vulnerabilidad se le asignó el identificador VDB-249421.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en rt-prettyphoto Plugin (CVE-2015-10128)

Fecha de publicación:
02/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en rt-prettyphoto Plugin up to 1.2 en WordPress y clasificada como problemática. La función royal_prettyphoto_plugin_links del archivo rt-prettyphoto.php es afectada por esta vulnerabilidad. La manipulación conduce a cross site scripting. El ataque puede lanzarse de forma remota. La actualización a la versión 1.3 puede solucionar este problema. El parche se identifica como 0d3d38cfa487481b66869e4212df1cefc281ecb7. Se recomienda actualizar el componente afectado. VDB-249422 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en Ekol Informatics Website Template (CVE-2023-6436)

Fecha de publicación:
02/01/2024
Idioma:
Español
La neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Ekol Informatics Website Template permite la inyección de SQL. Este problema afecta a Website Template: hasta 20231215.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2024

Vulnerabilidad en Mattermost (CVE-2023-47858)

Fecha de publicación:
02/01/2024
Idioma:
Español
Mattermost no verifica adecuadamente los permisos necesarios para ver los canales públicos archivados, lo que permite que un miembro de un equipo obtenga detalles sobre los canales públicos archivados de otro equipo a través de GET /api/v4/teams//channels/deleted endpoint.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2024

Vulnerabilidad en Mattermost (CVE-2023-48732)

Fecha de publicación:
02/01/2024
Idioma:
Español
Mattermost no logra abarcar la respuesta de WebSocket en torno a los usuarios notificados para cada usuario por separado, lo que hace que WebSocket transmita la información sobre quién fue notificado sobre una publicación a todos los demás en el canal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2024