Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-34659

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** jeecg-boot 3.5.0 and 3.5.1 have a SQL injection vulnerability the id parameter of the /jeecg-boot/jmreport/show interface.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/06/2023

Vulnerabilidad en Jfinal CMS (CVE-2023-34645)

Fecha de publicación:
16/06/2023
Idioma:
Español
Jfinal CMS v5.1.0 tiene una vulnerabilidad de lectura arbitraria de archivos.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2024

CVE-2023-34733

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** A lack of exception handling in the Volkswagen Discover Media Infotainment System Software Version 0876 allows attackers to cause a Denial of Service (DoS) via supplying crafted media files when connecting a device to the vehicle's USB plug and play feature.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/06/2023

CVE-2023-30222

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An information disclosure vulnerability in 4D SAS 4D Server Application v17, v18, v19 R7 and earlier allows attackers to retrieve password hashes for all users via eavesdropping.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2023

CVE-2023-30223

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** A broken authentication vulnerability in 4D SAS 4D Server software v17, v18, v19 R7, and earlier allows attackers to send crafted TCP packets containing requests to perform arbitrary actions.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2023

CVE-2023-30625

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** rudder-server is part of RudderStack, an open source Customer Data Platform (CDP). Versions of rudder-server prior to 1.3.0-rc.1 are vulnerable to SQL injection. This issue may lead to Remote Code Execution (RCE) due to the `rudder` role in PostgresSQL having superuser permissions by default. Version 1.3.0-rc.1 contains patches for this issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2023

CVE-2023-2918

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Duplicate Assignment.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2023-24243

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** CData RSB Connect v22.0.8336 was discovered to contain a Server-Side Request Forgery (SSRF).
Gravedad CVSS v3.1: ALTA
Última modificación:
12/12/2024

CVE-2023-34795

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** xlsxio v0.1.2 to v0.2.34 was discovered to contain a free of uninitialized pointer in the xlsxioread_sheetlist_close() function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted XLSX file.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2023

CVE-2023-30453

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Teamlead Reminder plugin through 2.6.5 for Jira allows persistent XSS via the message parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2024

CVE-2023-25366

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** In Siglent SDS 1104X-E SDS1xx4X-E_V6.1.37R9.ADS, insecure SCPI interface discloses web password.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/12/2024

CVE-2023-35783

Fecha de publicación:
16/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The ke_search (aka Faceted Search) extension before 4.0.3, 4.1.x through 4.6.x before 4.6.6, and 5.x before 5.0.2 for TYPO3 allows XSS via indexed data.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/06/2023