Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Simple Staff List (CVE-2023-51526)

Fecha de publicación:

12/06/2024

Idioma:

Español

Vulnerabilidad de autorización faltante en Brett Shumaker Simple Staff List. Este problema afecta a Simple Staff List: desde n/a hasta 2.2.4.

Gravedad CVSS v3.1: MEDIA

Última modificación:

13/06/2024

CVE-2024-5777

Fecha de publicación:

12/06/2024

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

Gravedad: Pendiente de análisis

Última modificación:

12/06/2024

CVE-2024-5778

Fecha de publicación:

12/06/2024

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

Gravedad: Pendiente de análisis

Última modificación:

12/06/2024

CVE-2024-5779

Fecha de publicación:

12/06/2024

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

Gravedad: Pendiente de análisis

Última modificación:

12/06/2024

CVE-2024-5780

Fecha de publicación:

12/06/2024

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

Gravedad: Pendiente de análisis

Última modificación:

12/06/2024

CVE-2024-5781

Fecha de publicación:

12/06/2024

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

Gravedad: Pendiente de análisis

Última modificación:

12/06/2024

CVE-2024-5782

Fecha de publicación:

12/06/2024

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

Gravedad: Pendiente de análisis

Última modificación:

12/06/2024

CVE-2024-5783

Fecha de publicación:

12/06/2024

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

Gravedad: Pendiente de análisis

Última modificación:

12/06/2024

CVE-2024-5873

Fecha de publicación:

12/06/2024

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

Gravedad: Pendiente de análisis

Última modificación:

12/06/2024

Vulnerabilidad en FreeIPA (CVE-2024-2698)

Fecha de publicación:

12/06/2024

Idioma:

Español

Se encontró una vulnerabilidad en FreeIPA en la que a la implementación inicial de MS-SFU por parte de MIT Kerberos le faltaba una condición para otorgar el indicador "reenviable" en los tickets S4U2Self. Para corregir este error fue necesario agregar un caso especial para la función check_allowed_to_delegate(): si el argumento del servicio de destino es NULL, entonces significa que el KDC está investigando reglas generales de delegación restringida y no verificando una solicitud S4U2Proxy específica. En FreeIPA 4.11.0, el comportamiento de ipadb_match_acl() se modificó para que coincida con los cambios del MIT Kerberos 1.20. Sin embargo, un error que resulta en este mecanismo se aplica en los casos en los que el argumento del servicio de destino está establecido Y donde no está establecido. Esto da como resultado que las solicitudes S4U2Proxy se acepten independientemente de si existe o no una regla de delegación de servicios coincidente.

Gravedad CVSS v3.1: ALTA

Última modificación:

02/10/2024

Vulnerabilidad en Element Pack Elementor Addons para WordPress (CVE-2024-3925)

Fecha de publicación:

12/06/2024

Idioma:

Español

El complemento Element Pack Elementor Addons (encabezado y pie de página, librería de plantillas, cuadrícula dinámica y carrusel, flechas remotas) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget del botón creativo del complemento en todas las versiones hasta la 5.6.7 incluida, debido a una sanitización insuficiente de las entradas y a que la salida se escape en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Gravedad CVSS v3.1: MEDIA

Última modificación:

29/01/2025