Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en webMethods OneData (CVE-2023-0925)
Fecha de publicación:
06/09/2023
Idioma:
Español
La versión 10.11 de webMethods OneData ejecuta una instancia integrada de Azul Zulu Java 11.0.15 que aloja un registro de Java RMI (que escucha en el puerto TCP 2099 de forma predeterminada) y dos interfaces RMI (que escucha en un único puerto alto TCP asignado dinámicamente). El puerto 2099 sirve como Java Remote Method Invocation (RMI) registro que permite cargar y procesar datos de forma remota a través de interfaces RMI. Un atacante no autenticado con conectividad de red al registro RMI y a los puertos de la interfaz RMI puede abusar de esta funcionalidad para indicar a la aplicación webMethods OneData que cargue un objeto Java serializado malicioso como parámetro de uno de los métodos Java disponibles presentados por la interfaz RMI. Una vez deserializado en el servidor vulnerable, el código malicioso se ejecuta como cualquier cuenta del sistema operativo que se utilice para ejecutar el software, que en la mayoría de los casos es la cuenta de System local en Windows.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Tenda N300 Wireless N VDSL2 Modem Router (CVE-2023-4498)
Fecha de publicación:
06/09/2023
Idioma:
Español
Tenda N300 Wireless N VDSL2 Modem Router permite el acceso no autenticado a páginas que a su vez deberían ser accesibles solo para usuarios autenticados
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Cisco Small Business RV110W, RV130, RV130W y RV215W Routers (CVE-2023-20250)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de los Routers de Cisco Small Business RV110W, RV130, RV130W y RV215W podría permitir que un atacante remoto autenticado ejecute código arbitrario en un dispositivo afectado. Esta vulnerabilidad se debe a una validación inadecuada de las solicitudes que se envían a la interfaz web de administración. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud manipulada a la interfaz web de administración. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales de administrador válidas en el dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/01/2024

Vulnerabilidad en KodExplorer 4.45 (CVE-2021-36646)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de Cross Site Scrtpting (XSS) en KodExplorer 4.45 permite a los atacantes remotos ejecutar código arbitrario a través de la página /index.php.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2023

Vulnerabilidad en Identificador no válido (CVE-2023-4621)
Fecha de publicación:
06/09/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority because it is a duplicate of CVE-2023-4569.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Linux (CVE-2023-4622)
Fecha de publicación:
06/09/2023
Idioma:
Español
Se puede explotar una vulnerabilidad de use-after-free en el componente Linux kernel&amp;#39;s af_unix para lograr una escalada de privilegios local. La función unix_stream_sendpage() intenta añadir datos al último skb en la cola peer&amp;#39;s recv sin bloquear la cola. Por lo tanto, existe una carrera donde unix_stream_sendpage() podría acceder a un skb sin bloqueo que está siendo liberado mediante la recolección de basura, resultando en use-after-free. Recomendamos actualizar después del commit 790c2f9d15b594350ae9bca7b236f2b1859de02c.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en el kernel de Linux (CVE-2023-4623)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de Use After Free en el componente net/sched: sch_hfsc (HFSC qdisc traffic control) del kernel de Linux puede ser explotada para conseguir una escalada local de privilegios. Si una clase con una curva de compartición de enlaces (es decir, con la flag HFSC_FSC establecida) tiene un padre sin una curva de compartición de enlaces, entonces init_vf() llamará a vttree_insert() en el padre, pero vttree_remove() se omitirá en update_vf(). Esto deja un puntero colgando que puede causar un Use-After-Free. Recomendamos actualizar desde el commit b3d26c5702c7d6c45456326e56d2ccf3f103e60f.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2025

Vulnerabilidad en Kernel de Linux (CVE-2023-4015)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de use-after-free en el netfilter del kernel de Linux: nf_tables componente puede ser explotado para lograr la escalada de privilegios locales. En un error al crear una regla nftables, desactivar expresiones inmediatas en nft_immediate_deactivate() puede llevar a desenlazar la cadena y los objetos se desactiven pero se usen más tarde. Recomendamos actualizar al commit anterior 0a771f7b266b02d262900c75f1e175c7fe76fec2.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Kernel de Linux (CVE-2023-4206)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de use-after-free en el componente net/sched: cls_route del kernel de Linux se puede explotar para lograr una escalada de privilegios local. Cuando se llama a route4_change() en un filtro existente, toda la estructura tcf_result siempre se copia en la nueva instancia del filtro. Esto causa un problema al actualizar un filtro vinculado a una clase, ya que siempre se llama a tcf_unbind_filter() en la instancia anterior en la ruta exitosa, lo que disminuye filter_cnt de la clase a la que todavía se hace referencia y permite que se elimine, lo que lleva a un use-after-free. Recomendamos actualizar al commit anterior b80b829e9e2c1b3f7aae34855e04d8f6ecaf13c8.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Linux (CVE-2023-4207)
Fecha de publicación:
06/09/2023
Idioma:
Español
Se puede explotar una vulnerabilidad de use-after-free en el componente Linux kernel&amp;#39;s net/sched: cls_fw para conseguir una escalada local de privilegios. Cuando se llama a fw_change() en un filtro existente, toda la estructura tcf_result se copia siempre en la nueva instancia del filtro.Esto causa un problema cuando se actualiza un filtro vinculado a una clase, ya que tcf_unbind_filter() siempre llama a la instancia antigua en la ruta de éxito, disminuyendo filter_cnt de la clase aún referenciada y permitiendo que se elimine, lo que lleva a un Use After Free. Recomendamos actualizar el commit a partir de 76e42ae831991c828cffa8c37736ebfb831ad5ec.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en el kernel de Linux (CVE-2023-4208)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de Use After Free en el componente net/sched: cls_u32 del kernel de Linux puede ser explotada para conseguir una escalada local de privilegios. Cuando se llama a u32_change() en un filtro existente, toda la estructura tcf_result se copia siempre en la nueva instancia del filtro. Esto causa un problema cuando se actualiza un filtro vinculado a una clase, ya que tcf_unbind_filter() siempre llama a la instancia antigua en la ruta de éxito, disminuyendo filter_cnt de la clase aún referenciada y permitiendo que se elimine, lo que lleva a un Use After Free. Recomendamos actualizar el commit a partir de 3044b16e7c6fe5d24b1cdbcf1bd0a9d92d1ebd81.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Kernel de Linux (CVE-2023-4244)
Fecha de publicación:
06/09/2023
Idioma:
Español
Una vulnerabilidad de use-after-free en el netfilter del kernel de Linux: nf_tables componente puede ser explotado para lograr la escalada de privilegios locales. Debido a una condición de ejecución entre nf_tables transacción del plano de control de enlace de red y la recolección de elementos no utilizados de nft_set, es posible desbordar el contador de referencia causando una vulnerabilidad de use-after-free. Recomendamos actualizar al commit anterior 3e91b0ebd994635df2346353322ac51ce84ce6d8.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025
Suscribirse a Vulnerabilidades