Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PackageKitd (CVE-2024-0217)
Fecha de publicación:
03/01/2024
Idioma:
Español
Se encontró un fallo de use after free en PackageKitd. En algunas condiciones, el orden de los mecanismos de limpieza de una transacción podría verse afectado. Como resultado, podría producirse cierto acceso a la memoria en regiones de memoria que se liberaron previamente. Una vez liberada, una región de memoria se puede reutilizar para otras asignaciones y cualquier dato previamente almacenado en esta región de memoria se considera perdido.
Gravedad CVSS v3.1: BAJA
Última modificación:
02/02/2024

Vulnerabilidad en Craft (CVE-2024-21622)
Fecha de publicación:
03/01/2024
Idioma:
Español
Craft es un sistema de gestión de contenidos. Esta es una posible vulnerabilidad de escalada de privilegios de baja complejidad y impacto moderado en Craft a partir de 3.x anterior a 3.9.6 y 4.x anterior a 4.4.16 con ciertas configuraciones de permisos de usuario. Esto se ha solucionado en Craft 4.4.16 y Craft 3.9.6. Los usuarios deben asegurarse de estar ejecutando al menos esas versiones.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/01/2024

Vulnerabilidad en Vapor (CVE-2024-21631)
Fecha de publicación:
03/01/2024
Idioma:
Español
Vapor es un framework web HTTP para Swift. Antes de la versión 4.90.0, la función `vapor_urlparser_parse` de Vapor utiliza índices `uint16_t` al analizar los componentes de un URI, lo que puede causar desbordamientos de enteros al analizar entradas que no son de confianza. Esta vulnerabilidad no afecta a Vapor directamente, pero podría afectar a las aplicaciones que dependen del tipo de URI para validar la entrada del usuario. El tipo URI se utiliza en varios lugares de Vapor. Un desarrollador puede decidir utilizar URI para representar una URL en su aplicación (especialmente si esa URL luego se pasa al Cliente HTTP) y confiar en sus propiedades y métodos públicos. Sin embargo, es posible que el URI no pueda analizar correctamente una URL válida (aunque anormalmente larga), debido a que los rangos de cadenas se convierten a enteros de 16 bits. Un atacante puede utilizar este comportamiento para engañar a la aplicación para que acepte una URL a un destino que no es de confianza. Al rellenar el número de puerto con ceros, un atacante puede provocar un desbordamiento de enteros cuando se analiza la autoridad de la URL y, como resultado, falsificar el host. La versión 4.90.0 contiene un parche para este problema. Como workaround, valide la entrada del usuario antes de analizarla como URI o, si es posible, utilice las utilidades `URL` y `URLComponents` de Foundation.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2024

Vulnerabilidad en CubeFS (CVE-2023-46742)
Fecha de publicación:
03/01/2024
Idioma:
Español
CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Se descubrió que CubeFS anterior a la versión 3.3.1 filtraba claves secretas de usuarios y claves de acceso en los registros de múltiples componentes. Cuando CubeCS crea nuevos usuarios, filtra la clave secreta de los usuarios. Esto podría permitir que un usuario con menos privilegios y acceso a los registros recupere información confidencial y se haga pasar por otros usuarios con mayores privilegios que él. El problema se solucionó en la versión 3.3.1. No hay otra mitigación que actualizar CubeFS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2024

Vulnerabilidad en Laf (CVE-2023-50253)
Fecha de publicación:
03/01/2024
Idioma:
Español
Laf es una plataforma de desarrollo en la nube. En el diseño de la versión Laf, el registro utiliza la comunicación con k8s para recuperar rápidamente los registros del contenedor sin necesidad de almacenamiento adicional. Sin embargo, en la versión 1.0.0-beta.13 y anteriores, esta interfaz no verifica los permisos del pod, lo que permite a los usuarios autenticados obtener cualquier registro del pod bajo el mismo espacio de nombres a través de este método, obteniendo así información confidencial impresa en los registros. Al momento de la publicación, no existen versiones parcheadas conocidas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2024

Vulnerabilidad en libssh (CVE-2023-6004)
Fecha de publicación:
03/01/2024
Idioma:
Español
Se encontró una falla en libssh. Al utilizar la función ProxyCommand o ProxyJump, los usuarios pueden explotar la sintaxis del hostname no verificada en el cliente. Este problema puede permitir que un atacante inyecte código malicioso en el comando de las funciones mencionadas a través del parámetro de hostname.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2024

Vulnerabilidad en CubeFS (CVE-2023-46739)
Fecha de publicación:
03/01/2024
Idioma:
Español
CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Se encontró una vulnerabilidad en el componente maestro de CubeFS en versiones anteriores a la 3.3.1 que podría permitir a un atacante no confiable robar contraseñas de usuario mediante la realización de un ataque de sincronización. El caso raíz de la vulnerabilidad fue que CubeFS utilizó una comparación de contraseñas sin formato. La parte vulnerable de CubeFS era el UserService del componente maestro. Se crea una instancia de UserService al iniciar el servidor del componente maestro. El problema se solucionó en la versión 3.3.1. Para los usuarios afectados, no hay otra forma de mitigar el problema además de actualizar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2024

Vulnerabilidad en CubeFS (CVE-2023-46740)
Fecha de publicación:
03/01/2024
Idioma:
Español
CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Antes de la versión 3.3.1, CubeFS usaba un generador de cadenas aleatorias inseguras para generar claves confidenciales específicas del usuario utilizadas para autenticar a los usuarios en una implementación de CubeFS. Esto podría permitir a un atacante predecir y/o adivinar la cadena generada y hacerse pasar por un usuario, obteniendo así mayores privilegios. Cuando CubeFS crea nuevos usuarios, crea una información confidencial para el usuario llamada "clave de acceso". Para crear la "clave de acceso", CubeFS utiliza un generador de cadenas inseguro que hace que sea fácil de adivinar y, por lo tanto, suplantar al usuario creado. Un atacante podría aprovechar el predecible generador de cadenas aleatorias y adivinar la clave de acceso de un usuario y hacerse pasar por el usuario para obtener mayores privilegios. El problema se solucionó en v3.3.1. No hay otra mitigación que actualizar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2024

Vulnerabilidad en CubeFS (CVE-2023-46741)
Fecha de publicación:
03/01/2024
Idioma:
Español
CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Se encontró una vulnerabilidad en CubeFS anterior a la versión 3.3.1 que podría permitir a los usuarios leer datos confidenciales de los registros, lo que podría permitirles escalar privilegios. CubeFS filtra claves de configuración en formato de texto plano en los registros. Estas claves podrían permitir que cualquiera realice operaciones en blobs para las que de otro modo no tendría permisos. Por ejemplo, un atacante que haya recuperado con éxito una clave secreta de los registros puede eliminar blogs del almacén de blobs. El atacante puede ser un usuario interno con privilegios limitados para leer el registro o puede ser un usuario externo con privilegios aumentados lo suficiente para acceder a los registros. La vulnerabilidad ha sido parcheada en v3.3.1. No hay otra mitigación que la actualización.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2024

Vulnerabilidad en PeterO.Cbor (CVE-2024-21909)
Fecha de publicación:
03/01/2024
Idioma:
Español
Las versiones de PeterO.Cbor 4.0.0 a 4.5.0 son vulnerables a una vulnerabilidad de denegación de servicio. Un atacante puede desencadenar la condición de denegación de servicio proporcionando datos manipulados a DecodeFromBytes u otros mecanismos de decodificación en PeterO.Cbor. Dependiendo del uso de la biblioteca, un atacante remoto y no autenticado puede provocar la condición de denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025

Vulnerabilidad en TinyMCE (CVE-2024-21911)
Fecha de publicación:
03/01/2024
Idioma:
Español
Las versiones de TinyMCE anteriores a la 5.6.0 se ven afectadas por una vulnerabilidad de cross site scripting almacenado. Un atacante remoto y no autenticado podría insertar HTML manipulado en el editor, lo que provocaría la ejecución arbitraria de JavaScript en el navegador de otro usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2025

Vulnerabilidad en TinyMCE (CVE-2024-21910)
Fecha de publicación:
03/01/2024
Idioma:
Español
Las versiones de TinyMCE anteriores a la 5.10.0 se ven afectadas por una vulnerabilidad de cross site scripting. Un atacante remoto y no autenticado podría introducir imágenes manipuladas o URL de enlaces que darían como resultado la ejecución de JavaScript arbitrario en el navegador de un usuario que esté editando.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2025
Suscribirse a Vulnerabilidades