Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Delta Electronics Delta Industrial Automation DOPSoft (CVE-2023-43815)
Fecha de publicación:
18/01/2024
Idioma:
Español
Existe una vulnerabilidad de desbordamiento del búfer en Delta Electronics Delta Industrial Automation DOPSoft versión 2 al analizar el campo wScreenDESCTextLen de un archivo DPS. Un atacante anónimo puede aprovechar esta vulnerabilidad incitando a un usuario a abrir un archivo DPS especialmente manipulado para lograr la ejecución del código.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2024

Vulnerabilidad en Delta Electronics Delta Industrial Automation DOPSoft (CVE-2023-43816)
Fecha de publicación:
18/01/2024
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en Delta Electronics Delta Industrial Automation DOPSoft versión 2 al analizar el campo wKPFStringLen de un archivo DPS. Un atacante anónimo puede aprovechar esta vulnerabilidad incitando a un usuario a abrir un archivo DPS especialmente manipulado para lograr la ejecución del código.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2024

Vulnerabilidad en jupyter-lsp (CVE-2024-22415)
Fecha de publicación:
18/01/2024
Idioma:
Español
jupyter-lsp es una herramienta de asistencia de codificación para JupyterLab (navegación de código + sugerencias de desplazamiento + linters + autocompletado + cambio de nombre) que utiliza el protocolo de servidor de idiomas. Las instalaciones de jupyter-lsp que se ejecutan en entornos sin control de acceso al sistema de archivos configurado (en el nivel del sistema operativo) y con instancias de jupyter-server expuestas a una red no confiable son vulnerables al acceso no autorizado y a la modificación del sistema de archivos más allá del directorio raíz de jupyter. Este problema se solucionó en la versión 2.2.2 y se recomienda a todos los usuarios que actualicen. Los usuarios que no puedan actualizar deben desinstalar jupyter-lsp.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/01/2024

Vulnerabilidad en Group-Office (CVE-2024-22418)
Fecha de publicación:
18/01/2024
Idioma:
Español
Group-Office es una herramienta de software colaborativo y CRM empresarial. Las versiones afectadas están sujetas a una vulnerabilidad que está presente en el mecanismo de carga de archivos de Group Office. Permite a un atacante ejecutar código JavaScript arbitrario incrustándolo en el nombre de un archivo. Por ejemplo, el uso de un nombre de archivo como “>.jpg” desencadena la vulnerabilidad. Cuando se carga este archivo, se ejecuta el código JavaScript dentro del nombre del archivo. Este problema se solucionó en la versión 6.8.29. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

CVE-2023-47092
Fecha de publicación:
18/01/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CVE RECORD. ConsultIDs: none. Reason: This record was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
18/01/2024

Vulnerabilidad en TenghuTOS TWS-200: V4.0-201809201424 (CVE-2023-51217)
Fecha de publicación:
18/01/2024
Idioma:
Español
Un problema descubierto en la versión del firmware TenghuTOS TWS-200: V4.0-201809201424 permite a un atacante remoto ejecutar código arbitrario mediante un comando manipulado en el componente de la página ping.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2025

Vulnerabilidad en YASM v.1.3.0 (CVE-2023-51258)
Fecha de publicación:
18/01/2024
Idioma:
Español
Un problema de pérdida de memoria descubierta en YASM v.1.3.0 permite a un atacante local provocar una denegación de servicio a través de la función new_Token en modules/preprocs/nasm/nasm-pp:1512.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2024

Vulnerabilidad en Nextcloud (CVE-2024-22401)
Fecha de publicación:
18/01/2024
Idioma:
Español
La aplicación para invitados Nextcloud es una utilidad para crear usuarios invitados que solo pueden ver los archivos compartidos con ellos. En las versiones afectadas, los usuarios podían cambiar la lista permitida de aplicaciones, permitiéndoles usar aplicaciones que no estaban destinadas a ser utilizadas. Se recomienda actualizar la aplicación Invitados a 2.4.1, 2.5.1 o 3.0.1. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/01/2024

Vulnerabilidad en Nextcloud (CVE-2024-22402)
Fecha de publicación:
18/01/2024
Idioma:
Español
La aplicación para invitados Nextcloud es una utilidad para crear usuarios invitados que solo pueden ver los archivos compartidos con ellos. En las versiones afectadas, los usuarios podían cargar la primera página de aplicaciones a las que en realidad no se les permitía acceder. Sin embargo, todas las llamadas API posteriores fallaron correctamente, por lo que en la mayoría de las aplicaciones no se filtró información adicional. Dependiendo de la selección de aplicaciones instaladas, esto puede presentar una omisión de permisos. Se recomienda actualizar la aplicación Invitados a 2.4.1, 2.5.1 o 3.0.1. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/01/2024

Vulnerabilidad en Nextcloud files Zip (CVE-2024-22404)
Fecha de publicación:
18/01/2024
Idioma:
Español
La aplicación Nextcloud files Zip es una herramienta para crear archivos zip a partir de uno o varios archivos desde Nextcloud. En las versiones afectadas, los usuarios pueden descargar archivos de "sólo lectura" comprimiendo la carpeta completa. Se recomienda actualizar la aplicación Archivos ZIP a 1.2.1, 1.4.1 o 1.5.0. Los usuarios que no puedan actualizar deben desactivar la aplicación de archivos zip.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/01/2024

Vulnerabilidad en Deck (CVE-2024-22213)
Fecha de publicación:
18/01/2024
Idioma:
Español
Deck es una herramienta de organización estilo kanban destinada a la planificación personal y organización de proyectos para equipos integrada con Nextcloud. En las versiones afectadas, los usuarios podrían ser engañados para que ejecutaran código malicioso que se ejecutaría en su navegador a través de HTML enviado como comentario. Se recomienda actualizar Nextcloud Deck a la versión 1.9.5 o 1.11.2. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

Vulnerabilidad en Nextcloud User Saml (CVE-2024-22400)
Fecha de publicación:
18/01/2024
Idioma:
Español
Nextcloud User Saml es una aplicación para autenticar a los usuarios de Nextcloud mediante SAML. En las versiones afectadas, a los usuarios se les puede proporcionar un enlace al servidor de Nextcloud y terminar en un servidor de terceros no controlado. Se recomienda actualizar la aplicación User Saml a la versión 5.1.5, 5.2.5 o 6.0.1. No se conocen workarounds para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/01/2024
Suscribirse a Vulnerabilidades