Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-3423

Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Weak Password Requirements in GitHub repository cloudexplorer-dev/cloudexplorer-lite prior to v 1.2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2023

CVE-2023-3411

Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Image Map Pro – Drag-and-drop Builder for Interactive Images – Lite plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 1.0.0. This is due to missing nonce validation on the ajax_store_save() function. This makes it possible for unauthenticated attackers to modify plugin settings and inject malicious web scripts via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2025

CVE-2023-3412

Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Image Map Pro – Drag-and-drop Builder for Interactive Images – Lite plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to, and including, 1.0.0. This is due to a missing capability check on the ajax_store_save() function. This makes it possible for authenticated attackers, with minimal permissions such as a subscriber, to modify plugin settings and inject malicious web scripts.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2025

Vulnerabilidad en Plugin MainWP Child para WordPress (CVE-2023-3132)

Fecha de publicación:
27/06/2023
Idioma:
Español
El plugin MainWP Child para WordPress es vulnerable a la exposición de información sensible hasta la versión 4.4.1.1 inclusive, debido a controles insuficientes en el almacenamiento de archivos de copia de seguridad. Esto hace posible que atacantes no autenticados extraigan información sensible, incluyendo la base de datos completa de las instalaciones, si se produce una copia de seguridad y falla la eliminación de los archivos de copia de seguridad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Plugin User Registration para WordPress (CVE-2023-3371)

Fecha de publicación:
27/06/2023
Idioma:
Español
El plugin User Registration para WordPress es vulnerable a la exposición de información confidencial debido a la clave de cifrado embebida en las funciones "lock_content_form_handler" y "display_password_form" en versiones hasta la 3.7.3 inclusive. Esto hace posible que atacantes no autenticados descifren y vean el contenido protegido por contraseña.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Contour Service (CVE-2023-22834)

Fecha de publicación:
27/06/2023
Idioma:
Español
Contour Service no comprobaba que los usuarios tuvieran permiso para crear un análisis para un conjunto de datos determinado. Esto podría permitir a un atacante saturar las carpetas de Compass con análisis extraños que, de otro modo, no tendría permiso para crear.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2023-30945

Fecha de publicación:
26/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Multiple Services such as VHS(Video History Server) and VCD(Video Clip Distributor) and Clips2 were discovered to be vulnerable to an unauthenticated arbitrary file read/write vulnerability due to missing input validation on filenames. A malicious attacker could read sensitive files from the filesystem or write/delete arbitrary files on the filesystem as well.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

CVE-2023-35695

Fecha de publicación:
26/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** A remote attacker could leverage a vulnerability in Trend Micro Mobile Security (Enterprise) 9.8 SP5 to download a particular log file which may contain sensitive information regarding the product.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2023

CVE-2023-34145

Fecha de publicación:
26/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An untrusted search path vulnerability in the Trend Micro Apex One and Apex One as a Service security agent could allow a local attacker to escalate their privileges on affected installations.<br /> <br /> Please note: an attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability.<br /> <br /> This is a similar, but not identical vulnerability as CVE-2023-34144.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2023

CVE-2023-34144

Fecha de publicación:
26/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An untrusted search path vulnerability in the Trend Micro Apex One and Apex One as a Service security agent could allow a local attacker to escalate their privileges on affected installations.<br /> <br /> Please note: an attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability.<br /> <br /> This is a similar, but not identical vulnerability as CVE-2023-34145.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2023

CVE-2023-32605

Fecha de publicación:
26/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Affected versions Trend Micro Apex Central (on-premise) are vulnerable to potential authenticated reflected cross-site scripting (XSS) attacks due to user input validation and sanitization issues. <br /> <br /> Please note: an attacker must first obtain authentication to Apex Central on the target system in order to exploit this vulnerability.<br /> <br /> This is similar to, but not identical to CVE-2023-32604.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2023

CVE-2023-32604

Fecha de publicación:
26/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Affected versions Trend Micro Apex Central (on-premise) are vulnerable to potential authenticated reflected cross-site scripting (XSS) attacks due to user input validation and sanitization issues. <br /> <br /> Please note: an attacker must first obtain authentication to Apex Central on the target system in order to exploit this vulnerability.<br /> <br /> This is similar to, but not identical to CVE-2023-32605.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2023