Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cool Plugins Cryptocurrency Widgets – Price Ticker & Coins List (CVE-2024-27953)
Fecha de publicación:
13/03/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en Cool Plugins Cryptocurrency Widgets – Price Ticker & Coins List. Este problema afecta a Cryptocurrency Widgets – Price Ticker & Coins List: desde n/a hasta 2.6.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2025

Vulnerabilidad en Dell PowerEdge Server BIOS and Dell Precision Rack BIOS (CVE-2024-0173)
Fecha de publicación:
13/03/2024
Idioma:
Español
Dell PowerEdge Server BIOS and Dell Precision Rack BIOS contienen una vulnerabilidad de inicialización de parámetros incorrecta. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad para leer el contenido de la memoria de pila que no sea SMM.
Gravedad CVSS v3.1: BAJA
Última modificación:
31/01/2025

Vulnerabilidad en Secure Copy Protocol (CVE-2024-20262)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en Secure Copy Protocol (SCP) y la función SFTP del software Cisco IOS XR podría permitir que un atacante local autenticado cree o sobrescriba archivos en un directorio del sistema, lo que podría provocar una condición de denegación de servicio (DoS). El atacante requeriría credenciales de usuario válidas para realizar este ataque. Esta vulnerabilidad se debe a la falta de validación adecuada de los parámetros de entrada de SCP y SFTP CLI. Un atacante podría aprovechar esta vulnerabilidad autenticándose en el dispositivo y emitiendo comandos SCP o SFTP CLI con parámetros específicos. Un exploit exitoso podría permitir que el atacante afecte la funcionalidad del dispositivo, lo que podría provocar una condición DoS. Es posible que sea necesario reiniciar el dispositivo manualmente para recuperarlo. Nota: Esta vulnerabilidad solo se puede explotar cuando un usuario local invoca comandos SCP o SFTP en la CLI de Cisco IOS XR. Un usuario local con privilegios administrativos podría aprovechar esta vulnerabilidad de forma remota.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2024

Vulnerabilidad en DHCP (CVE-2024-20266)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en la función del servidor DHCP versión 4 (DHCPv4) del software Cisco IOS XR podría permitir que un atacante remoto no autenticado desencadene una falla del proceso dhcpd, lo que resultaría en una condición de denegación de servicio (DoS). Esta vulnerabilidad existe porque ciertos mensajes DHCPv4 se validan incorrectamente cuando son procesados por un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad enviando un mensaje DHCPv4 con formato incorrecto a un dispositivo afectado. Un exploit exitoso podría permitir al atacante provocar una falla del proceso dhcpd. Mientras se reinicia el proceso dhcpd, lo que puede tardar aproximadamente dos minutos, los servicios del servidor DHCPv4 no están disponibles en el dispositivo afectado. Esto podría impedir temporalmente el acceso a la red a los clientes que se unan a la red durante ese período de tiempo y dependan del servidor DHCPv4 del dispositivo afectado. Notas: Sólo el proceso dhcpd falla y finalmente se reinicia automáticamente. El enrutador no se recarga. Esta vulnerabilidad sólo se aplica a DHCPv4. DHCP versión 6 (DHCPv6) no se ve afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2024

Vulnerabilidad en Cisco (CVE-2024-20315)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en el procesamiento de la lista de control de acceso (ACL) en las interfaces MPLS en la dirección de ingreso del software Cisco IOS XR podría permitir que un atacante remoto no autenticado omita una ACL configurada. Esta vulnerabilidad se debe a una asignación incorrecta de claves de búsqueda a contextos de interfaz interna. Un atacante podría aprovechar esta vulnerabilidad intentando enviar tráfico a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante acceder a recursos detrás del dispositivo afectado que se suponía estaban protegidos por una ACL configurada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2024

Vulnerabilidad en Cisco (CVE-2024-20318)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en los servicios Ethernet de capa 2 del software Cisco IOS XR podría permitir que un atacante adyacente no autenticado provoque que el procesador de red de la tarjeta de línea se reinicie, lo que resultaría en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe al manejo incorrecto de tramas Ethernet específicas que se reciben en tarjetas de línea que tienen habilitada la función de servicios de Capa 2. Un atacante podría aprovechar esta vulnerabilidad enviando tramas Ethernet específicas a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el procesador de red de la interfaz de entrada se reinicie, lo que resultaría en una pérdida de tráfico en las interfaces admitidas por el procesador de red. Múltiples reinicios del procesador de red provocarían que la tarjeta de línea se reinicie, lo que resultaría en una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2024

Vulnerabilidad en Dell PowerEdge Server BIOS and Dell Precision Rack BIOS (CVE-2024-0154)
Fecha de publicación:
13/03/2024
Idioma:
Español
Dell PowerEdge Server BIOS and Dell Precision Rack BIOS contienen una vulnerabilidad de inicialización de parámetros incorrecta. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad para leer el contenido de la memoria de pila que no sea SMM.
Gravedad CVSS v3.1: BAJA
Última modificación:
31/01/2025

Vulnerabilidad en Dell PowerEdge Server BIOS and Dell Precision Rack BIOS (CVE-2024-0162)
Fecha de publicación:
13/03/2024
Idioma:
Español
Dell PowerEdge Server BIOS and Dell Precision Rack BIOS contienen una vulnerabilidad de verificación del búfer de comunicación SMM incorrecta. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad, lo que provocaría lecturas/escrituras fuera de los límites en SMRAM.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

Vulnerabilidad en Dell PowerEdge Server BIOS and Dell Precision Rack BIOS (CVE-2024-0163)
Fecha de publicación:
13/03/2024
Idioma:
Español
Dell PowerEdge Server BIOS and Dell Precision Rack BIOS contienen una vulnerabilidad de condición de ejecución TOCTOU. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad para obtener acceso a recursos que de otro modo no estarían autorizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2025

Vulnerabilidad en Sky Addons for Elementor (Free Templates Library, Live Copy, Animations, Post Grid, Post Carousel, Particles, Sliders, Chart) para WordPress (CVE-2024-2286)
Fecha de publicación:
13/03/2024
Idioma:
Español
El complemento Sky Addons for Elementor (Free Templates Library, Live Copy, Animations, Post Grid, Post Carousel, Particles, Sliders, Chart) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del valor de URL del enlace contenedor en todas las versiones hasta, e incluyendo, 2.4.0 debido a una sanitización insuficiente de las entradas y al escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2025

Vulnerabilidad en Site Reviews para WordPress (CVE-2024-2293)
Fecha de publicación:
13/03/2024
Idioma:
Español
El complemento Site Reviews para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del nombre para mostrar del usuario en todas las versiones hasta la 6.11.4 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2024

Vulnerabilidad en Malware Scanner plugin and the Web Application Firewall para WordPress (CVE-2024-2172)
Fecha de publicación:
13/03/2024
Idioma:
Español
El complemento Malware Scanner plugin and the Web Application Firewall para WordPress (ambos de MiniOrange) son vulnerables a la escalada de privilegios debido a una falta de verificación de capacidad en la función mo_wpns_init() en todas las versiones hasta la 4.7.2 incluida (para Malware Scanner). ) y 2.1.1 (para firewall de aplicaciones web). Esto hace posible que los atacantes no autenticados escale sus privilegios a los de administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/03/2024
Suscribirse a Vulnerabilidades