Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en hoolock (CVE-2024-23339)

Fecha de publicación:
22/01/2024
Idioma:
Español
hoolock es un conjunto de utilidades livianas manipuladas para ocupar poco espacio cuando se incluyen en paquete. A partir de la versión 2.0.0 y antes de la versión 2.2.1, las funciones de utilidad relacionadas con las rutas de los objetos (`get`, `set` y `update`) no bloqueaban los intentos de acceder o alterar los prototipos de objetos. A partir de la versión 2.2.1, las funciones `get`, `set` y `update` arrojan un `TypeError` cuando un usuario intenta acceder o modificar propiedades heredadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2024

Vulnerabilidad en Hono en Node.js (CVE-2024-23340)

Fecha de publicación:
22/01/2024
Idioma:
Español
@hono/node-server es un adaptador que permite a los usuarios ejecutar aplicaciones Hono en Node.js. Desde v1.3.0, @hono/node-server ha utilizado su propio objeto Request con un comportamiento de `url` inesperado. En la API estándar, si la URL contiene `..`, aquí denominada "puntos dobles", la cadena de URL devuelta por la Solicitud estará en la ruta resuelta. Sin embargo, la `url` en la solicitud de @hono/node-server no resuelve los puntos dobles, por lo que se devuelve `http://localhost/static/.. /foo.txt`. Esto provoca vulnerabilidades al utilizar `serveStatic`. Los navegadores web modernos y el último comando `curl` resuelven los puntos dobles en el lado del cliente, por lo que este problema no afecta a quienes utilizan cualquiera de esas herramientas. Sin embargo, pueden ocurrir problemas si accede un cliente que no los resuelve. La versión 1.4.1 incluye el cambio para solucionar este problema. Como workaround, no utilice "serveStatic".
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2024

Vulnerabilidad en Contiki-NG tinyDTLS (CVE-2021-42141)

Fecha de publicación:
22/01/2024
Idioma:
Español
Se descubrió un problema en Contiki-NG tinyDTLS hasta el 30 de agosto de 2018. Un protocolo de enlace incorrecto podría completarse con diferentes números de época en los paquetes Client_Hello, Client_key_exchange y Change_cipher_spec, lo que puede provocar una denegación de servicio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/06/2025

Vulnerabilidad en Splunk Enterprise (CVE-2024-23675)

Fecha de publicación:
22/01/2024
Idioma:
Español
En las versiones de Splunk Enterprise inferiores a 9.0.8 y 9.1.3, el almacén de valores clave de la aplicación Splunk (KV Store) maneja incorrectamente los permisos para los usuarios que usan la interfaz de programación de aplicaciones (API) REST. Potencialmente, esto puede resultar en la eliminación de las colecciones de KV Store.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2024

Vulnerabilidad en Splunk (CVE-2024-23676)

Fecha de publicación:
22/01/2024
Idioma:
Español
En las versiones de Splunk inferiores a 9.0.8 y 9.1.3, el comando SPL “mrollup” permite a un usuario con pocos privilegios ver métricas en un índice para el que no tiene permiso. Esta vulnerabilidad requiere la interacción de un usuario con altos privilegios para poder explotarla.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/04/2024

Vulnerabilidad en Splunk Enterprise (CVE-2024-23677)

Fecha de publicación:
22/01/2024
Idioma:
Español
En las versiones de Splunk Enterprise inferiores a 9.0.8, la utilidad Splunk RapidDiag revela las respuestas del servidor de aplicaciones externas en un archivo de registro.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2024

Vulnerabilidad en Splunk Enterprise para Windows (CVE-2024-23678)

Fecha de publicación:
22/01/2024
Idioma:
Español
En las versiones de Splunk Enterprise para Windows inferiores a 9.0.8 y 9.1.3, Splunk Enterprise no sanitiza correctamente los datos de entrada de ruta. Esto da como resultado la deserialización insegura de datos que no son de confianza desde una partición de disco separada en la máquina. Esta vulnerabilidad sólo afecta a Splunk Enterprise para Windows.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/04/2024

Vulnerabilidad en IIBM Db2 para Linux, UNIX y Windows (CVE-2023-47141)

Fecha de publicación:
22/01/2024
Idioma:
Español
IIBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 11.5 podría permitir que un usuario autenticado con privilegios CONNECT provoque una denegación de servicio mediante una consulta especialmente manipulada. ID de IBM X-Force: 270264.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/03/2024

Vulnerabilidad en Jensen de Scandinavia Eagle 1200AC V15.03.06.33_en (CVE-2023-24135)

Fecha de publicación:
22/01/2024
Idioma:
Español
Se descubrió que Jensen de Scandinavia Eagle 1200AC V15.03.06.33_en contiene una vulnerabilidad de inyección de comandos en la función formWriteFacMac. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios mediante la manipulación del parámetro mac.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/09/2024

Vulnerabilidad en IBM DB2 para Linux, UNIX y Windows (CVE-2023-47158)

Fecha de publicación:
22/01/2024
Idioma:
Español
IBM DB2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 10.1, 10.5 y 11.1 podría permitir que un usuario autenticado con privilegios CONNECT provoque una denegación de servicio mediante una consulta especialmente manipulada. ID de IBM X-Force: 270750.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/03/2024

Vulnerabilidad en IBM DB2 para Linux, UNIX y Windows (CVE-2023-47747)

Fecha de publicación:
22/01/2024
Idioma:
Español
IBM DB2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 10.1, 10.5 y 11.1 podría permitir que un usuario autenticado con privilegios CONNECT provoque una denegación de servicio mediante una consulta especialmente manipulada. ID de IBM X-Force: 272646.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/03/2024

Vulnerabilidad en v (CVE-2023-6290)

Fecha de publicación:
22/01/2024
Idioma:
Español
El complemento SEOPress de WordPress anterior a 7.3 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de Cross-Site Scripting incluso cuando unfiltered_html no está permitido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2024