Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IBM Aspera Faspex 5.0.5 (CVE-2022-22402)
Fecha de publicación:
08/09/2023
Idioma:
Español
IBM Aspera Faspex 5.0.5 es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría provocar la divulgación de credenciales dentro de una sesión de confianza. ID de IBM X-Force: 222571.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en IBM Aspera Faspex 5.0.5 (CVE-2022-22409)
Fecha de publicación:
08/09/2023
Idioma:
Español
IBM Aspera Faspex 5.0.5 podría permitir a un atacante remoto recopilar información confidencial sobre la aplicación web, causada por una configuración insegura. ID de IBM X-Force: 222592.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en IBM Aspera Faspex 5.0.5 (CVE-2023-30995)
Fecha de publicación:
08/09/2023
Idioma:
Español
IBM Aspera Faspex 5.0.5 podría permitir a un actor malicioso eludir las restricciones de la lista blanca de IPs utilizando una solicitud HTTP especialmente manipulada. ID de IBM X-Force: 254268.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/10/2023

Vulnerabilidad en IBM Aspera Faspex 5.0.5 (CVE-2022-22405)
Fecha de publicación:
08/09/2023
Idioma:
Español
IBM Aspera Faspex 5.0.5 podría permitir a un atacante remoto obtener información confidencial, causada por el error al habilitar correctamente HTTP Strict Transport Security. Un atacante podría aprovechar esta vulnerabilidad para obtener información sensbile mediante técnicas de man-in-the-middle. ID de IBM X-Force: 222576.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2023

Vulnerabilidad en IBM Aspera Faspex 5.0.5 (CVE-2023-24965)
Fecha de publicación:
08/09/2023
Idioma:
Español
IBM Aspera Faspex 5.0.5 no restringe ni restringe incorrectamente el acceso a un recurso de un actor no autorizado. ID de IBM X-Force: 246713.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2023

Vulnerabilidad en IBM Security Directory Server 7.2.0 (CVE-2022-33164)
Fecha de publicación:
08/09/2023
Idioma:
Español
IBM Security Directory Server 7.2.0 podría permitir a un atacante remoto recorrer directorios del sistema. Un atacante podría enviar una solicitud de dirección URL especialmente manipulada que contuviera secuencias "dot dot" (/.. /) para ver o escribir en archivos arbitrarios en el sistema. ID de IBM X-Force: 228579.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2023

Vulnerabilidad en Matrix-media-repo en chat de Matrix (CVE-2023-41318)
Fecha de publicación:
08/09/2023
Idioma:
Español
Matrix-media-repo es un repositorio de medios multidominio altamente personalizable para el ecosistema de chat de Matrix. En las versiones afectadas, un atacante podría cargar un contenido malicioso en el repositorio de contenidos, que luego se entregaría con "Content-Disposition: inline" al descargarlo. Esta vulnerabilidad podría aprovecharse para ejecutar scripts incrustados en contenido SVG. Los commits `77ec235` y `bf8abdd` solucionan el problema y se incluyen en la versión 1.3.0. Los operadores deben actualizar a la versión 1.3.0 lo antes posible. Los operadores que no puedan actualizar deben anular el encabezado "Content-Disposition" devuelto por Matrix-media-repo como workaround.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en IBM Maximo Application Suite y IBM Maximo Asset Management (CVE-2023-32332)
Fecha de publicación:
08/09/2023
Idioma:
Español
IBM Maximo Application Suite en versiones 8.9 y 8.10 e IBM Maximo Asset Management en versiones 7.6.1.2 y 7.6.1.3 son vulnerables a la inyección HTML. Un atacante remoto podría inyectar código HTML malicioso, que cuando se detecta, se ejecutaría en el navegador web de la víctima dentro del contexto de seguridad del sitio de hosting. ID de IBM X-Force: 255072.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en Blood Bank & Donor Management v2.2 (CVE-2023-41575)
Fecha de publicación:
08/09/2023
Idioma:
Español
Múltiples vulnerabilidades de Cross-Site Scripting (XSS) Almacenado en /bbdms/sign-up.php de Blood Bank & Donor Management v2.2 permiten a los atacantes ejecutar scripts web arbitrarios o HTML a través de un payload manipulado inyectado en los parámetros Nombre completo, Mensaje o Dirección.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2023

Vulnerabilidad en Jeecg (CVE-2023-41578)
Fecha de publicación:
08/09/2023
Idioma:
Español
Se descubrió que el arranque de Jeecg hasta v3.5.3 contenía una vulnerabilidad de lectura arbitraria de ficheros a través de la interfaz /testConnection.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2024

Vulnerabilidad en Jeecg (CVE-2023-42268)
Fecha de publicación:
08/09/2023
Idioma:
Español
Se descubrió que el arranque de Jeecg hasta v3.5.3 contenía una vulnerabilidad de inyección SQL a través del componente /jeecg-boot/jmreport/show.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2023

Vulnerabilidad en IBM QRadar WinCollect Agent (CVE-2023-38736)
Fecha de publicación:
08/09/2023
Idioma:
Español
IBM QRadar WinCollect Agent 10.0 a 10.1.6, cuando se instala para ejecutarse como ADMIN o SYSTEM, es vulnerable a una escalada local de ataque de privilegios que un usuario normal podría utilizar para obtener permisos de SYSTEM. ID de IBM X-Force: 262542.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2023
Suscribirse a Vulnerabilidades