Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ROS2 Foxy Fitzroy (CVE-2023-51197)
Fecha de publicación:
30/01/2024
Idioma:
Español
Un problema descubierto en la ejecución de comandos de shell en ROS2 (Robot Operating System 2) Foxy Fitzroy, con ROS_VERSION=2 y ROS_PYTHON_VERSION=3 permite a un atacante ejecutar comandos arbitrarios y causar otros impactos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2024

Vulnerabilidad en ROS2 Foxy Fitzroy (CVE-2023-51198)
Fecha de publicación:
30/01/2024
Idioma:
Español
Un problema en los componentes de permiso y control de acceso dentro de ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 permite a los atacantes obtener privilegios elevados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2024

Vulnerabilidad en ROS2 Foxy Fitzroy (CVE-2023-51202)
Fecha de publicación:
30/01/2024
Idioma:
Español
Vulnerabilidad de inyección de comandos del sistema operativo en el procesamiento de comandos o componentes de llamadas al sistema ROS2 (Robot Operating System 2) Foxy Fitzroy, con ROS_VERSION=2 y ROS_PYTHON_VERSION=3 permite a los atacantes ejecutar comandos arbitrarios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2024

Vulnerabilidad en ROS2 Foxy Fitzroy (CVE-2023-51204)
Fecha de publicación:
30/01/2024
Idioma:
Español
La deserialización insegura en ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 permite a los atacantes ejecutar código arbitrario a través de una entrada manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2024

Vulnerabilidad en Google Chrome (CVE-2024-1059)
Fecha de publicación:
30/01/2024
Idioma:
Español
El use after free en Peer Connection en Google Chrome anterior a 121.0.6167.139 permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada. (Severidad de seguridad de Chromium: alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2025

Vulnerabilidad en Vyper (CVE-2024-24567)
Fecha de publicación:
30/01/2024
Idioma:
Español
Vyper es un Smart Contract Language pythonico para la máquina virtual ethereum. El compilador de Vyper permite pasar un valor en raw_call incorporado incluso si la llamada es una llamada delegada o una llamada estática. Pero en el contexto de delegarcall y staticcall el manejo del valor no es posible debido a la semántica de los respectivos códigos de operación, y vyper ignorará silenciosamente el argumento value=. Si el desarrollador desconoce la semántica del EVM, podría sospechar que al especificar el "valor" kwarg, se enviará exactamente la cantidad dada al objetivo. Esta vulnerabilidad afecta a la versión 0.3.10 y versiones anteriores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2024

Vulnerabilidad en Honeywell Experion VirtualUOC y UOC (CVE-2023-5389)
Fecha de publicación:
30/01/2024
Idioma:
Español
Un atacante podría explotar esta vulnerabilidad, lo que permitiría modificar archivos en Honeywell Experion VirtualUOC y UOC. Esta explotación podría usarse para escribir un archivo que puede resultar en un comportamiento inesperado basado en cambios de configuración o actualización de archivos que podrían resultar en la ejecución posterior de una aplicación maliciosa si se activa. Honeywell recomienda actualizar a la versión más reciente del producto. Consulte la Notificación de seguridad de Honeywell para obtener recomendaciones sobre actualización y control de versiones.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/02/2024

Vulnerabilidad en TanStack Query (CVE-2024-24558)
Fecha de publicación:
30/01/2024
Idioma:
Español
TanStack Query proporciona administración de estado asincrónica, utilidades de estado de servidor y recuperación de datos para la web. El paquete NPM `@tanstack/react-query-next-experimental` es afectado por una vulnerabilidad de cross site scripting. Para aprovechar esto, un atacante necesitaría inyectar entradas maliciosas o hacer arreglos para que se devuelvan entradas maliciosas desde un endpoint. Para solucionar este problema, actualice a la versión 5.18.0 o posterior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2024

Vulnerabilidad en Microsoft Edge (CVE-2024-21388)
Fecha de publicación:
30/01/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios en Microsoft Edge (basado en Chromium)
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2024

Vulnerabilidad en apollo-client-nextjs (CVE-2024-23841)
Fecha de publicación:
30/01/2024
Idioma:
Español
apollo-client-nextjs es el soporte del cliente Apollo para el enrutador de aplicaciones Next.js. El paquete NPM @apollo/experimental-apollo-client-nextjs es afectado por una vulnerabilidad de cross site scripting. Para aprovechar esta vulnerabilidad, un atacante necesitaría inyectar información maliciosa (por ejemplo, redirigiendo a un usuario a un enlace manipulado específicamente) o hacer arreglos para que un servidor GraphQL devuelva la información maliciosa (por ejemplo, persistiéndola en una base de datos). Para solucionar este problema, actualice a la versión 0.7.0 o posterior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2024

Vulnerabilidad en urql (CVE-2024-24556)
Fecha de publicación:
30/01/2024
Idioma:
Español
urql es un cliente GraphQL que expone un conjunto de ayudas para varios marcos. El paquete `@urql/next` es vulnerable a XSS. Para explotar esto, un atacante debería asegurarse de que la respuesta devuelva etiquetas "html" y que la aplicación web utilice respuestas transmitidas (no RSC). Esta vulnerabilidad se debe a un escape inadecuado de caracteres tipo html en el flujo de respuesta. Para corregir esta vulnerabilidad, actualice a la versión 1.1.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2024

Vulnerabilidad en openBI (CVE-2024-1036)
Fecha de publicación:
30/01/2024
Idioma:
Español
Se encontró una vulnerabilidad en openBI hasta 1.0.8 y se clasificó como crítica. Este problema afecta la función uploadIcon del archivo /application/index/controller/Screen.php del componente Icon Handler. La manipulación conduce a una carga sin restricciones. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-252311.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024
Suscribirse a Vulnerabilidades