Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-33239

Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** TN-4900 Series firmware versions v1.2.4 and prior and TN-5900 Series firmware versions v3.3 and prior are vulnerable to the command injection vulnerability. This vulnerability stems from insufficient input validation in the key-generation function, which could potentially allow malicious users to execute remote code on affected devices.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/10/2024

CVE-2023-34213

Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** TN-5900 Series firmware versions v3.3 and prior are vulnerable to command-injection vulnerability. This vulnerability stems from insufficient input validation and improper authentication in the key-generation function, which could potentially allow malicious users to execute remote code on affected devices.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/10/2024

CVE-2023-34214

Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** TN-4900 Series firmware versions v1.2.4 and prior and TN-5900 Series firmware versions v3.3 and prior are vulnerable to the command-injection vulnerability. This vulnerability stems from insufficient input validation in the certificate-generation function, which could potentially allow malicious users to execute remote code on affected devices.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/10/2024

CVE-2023-33237

Fecha de publicación:
17/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** TN-5900 Series firmware version v3.3 and prior is vulnerable to improper-authentication vulnerability. This vulnerability arises from inadequate authentication measures implemented in the web API handler, allowing low-privileged APIs to execute restricted actions that only high-privileged APIs are allowed This presents a potential risk of unauthorized exploitation by malicious actors.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2024

CVE-2023-35011

Fecha de publicación:
16/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** IBM Cognos Analytics 11.1.7, 11.2.0, and 11.2.1 is vulnerable to server-side request forgery (SSRF). This may allow an authenticated attacker to send unauthorized requests from the system, potentially leading to network enumeration or facilitating other attacks. IBM X-Force ID: 257705.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2024

CVE-2023-35009

Fecha de publicación:
16/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** IBM Cognos Analytics 11.1.7, 11.2.0, and 11.2.1 could allow a remote attacker to obtain system information without authentication which could be used in reconnaissance to gather information that could be used for future attacks. IBM X-Force ID: 257703.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2024

CVE-2023-38894

Fecha de publicación:
16/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** A Prototype Pollution issue in Cronvel Tree-kit v.0.7.4 and before allows a remote attacker to execute arbitrary code via the extend function.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2023

CVE-2023-35893

Fecha de publicación:
16/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** IBM Security Guardium 10.6, 11.3, 11.4, and 11.5 could allow a remote authenticated attacker to execute arbitrary commands on the system by sending a specially crafted request. IBM X-Force ID: 258824.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/08/2023

CVE-2023-39846

Fecha de publicación:
16/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue in Konga v0.14.9 allows attackers to bypass authentication via a crafted JWT token.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/08/2023

CVE-2023-20232

Fecha de publicación:
16/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in the Tomcat implementation for Cisco Unified Contact Center Express (Unified CCX) could allow an unauthenticated, remote attacker to cause a web cache poisoning attack on an affected device. <br /> <br /> This vulnerability is due to improper input validation of HTTP requests. An attacker could exploit this vulnerability by sending crafted HTTP requests to a specific API endpoint on the Unified CCX Finesse Portal. A successful exploit could allow the attacker to cause the internal WebProxy to redirect users to an attacker-controlled host.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

CVE-2023-20237

Fecha de publicación:
16/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in Cisco Intersight Virtual Appliance could allow an unauthenticated, adjacent attacker to access internal HTTP services that are otherwise inaccessible.<br /> <br /> This vulnerability is due to insufficient restrictions on internally accessible http proxies. An attacker could exploit this vulnerability by submitting a crafted CLI command. A successful exploit could allow the attacker access to internal subnets beyond the sphere of their intended access level.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

CVE-2023-20229

Fecha de publicación:
16/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in the CryptoService function of Cisco Duo Device Health Application for Windows could allow an authenticated, local attacker with low privileges to conduct directory traversal attacks and overwrite arbitrary files on an affected system.<br /> <br /> This vulnerability is due to insufficient input validation. An attacker could exploit this vulnerability by executing a directory traversal attack on an affected host. A successful exploit could allow an attacker to use a cryptographic key to overwrite arbitrary files with SYSTEM-level privileges, resulting in a denial of service (DoS) condition or data loss on the affected system.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/01/2024