Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-28610

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** The update process in OMICRON StationGuard and OMICRON StationScout before 2.21 can be exploited by providing a modified firmware update image. This allows a remote attacker to gain root access to the system.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2025

CVE-2022-47173

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in nasirahmed Connect Contact Form 7, WooCommerce To Google Sheets & Other Platforms – Advanced Form Integration plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2022-28497

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** TOTOLink outdoor CPE CP900 V6.3c.566_B20171026 is discovered to contain a command injection vulnerability in the mtd_write_bootloader function via the filename parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/03/2023

CVE-2023-27077

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Stack Overflow vulnerability found in 360 D901 allows a remote attacker to cause a Distributed Denial of Service (DDOS) via a crafted HTTP package.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2025

CVE-2023-27078

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** A command injection issue was found in TP-Link MR3020 v.1_150921 that allows a remote attacker to execute arbitrary commands via a crafted request to the tftp endpoint.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/02/2025

CVE-2023-27135

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** TOTOlink A7100RU V7.4cu.2313_B20191024 was discovered to contain a command injection vulnerability via the enabled parameter at /setting/setWanIeCfg.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/02/2025

CVE-2023-28772

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in the Linux kernel before 5.13.3. lib/seq_buf.c has a seq_buf_putmem_hex buffer overflow.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

CVE-2022-28491

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** TOTOLink outdoor CPE CP900 V6.3c.566_B20171026 contains a command injection vulnerability in the NTPSyncWithHost function via the host_name parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

CVE-2022-28493

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in TOTOLINK CP900 V6.3c.566 allows attackers to start the Telnet service,
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/03/2023

CVE-2022-47589

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in this.Functional CTT Expresso para WooCommerce plugin 
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2023-23722

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Winwar Media WP eBay Product Feeds plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2023-23728

Fecha de publicación:
23/03/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (contributor+) Cross-Site Scripting (XSS) vulnerability in Winwar Media WP Flipclock plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023