Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Sudo (CVE-2023-7090)
Fecha de publicación:
23/12/2023
Idioma:
Español
Se encontró una falla en sudo en el manejo de ipa_hostname, donde ipa_hostname de /etc/sssd/sssd.conf no se propagó en sudo. Por lo tanto, genera una vulnerabilidad de mala gestión de privilegios en las aplicaciones, donde los hosts de los clientes conservan los privilegios incluso después de retirarlos.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/02/2024

Vulnerabilidad en instipod DuoUniversalKeycloakAuthenticator 1.0.7 (CVE-2023-49594)
Fecha de publicación:
23/12/2023
Idioma:
Español
Existe una vulnerabilidad de divulgación de información en la funcionalidad de desafío del complemento instipod DuoUniversalKeycloakAuthenticator 1.0.7. Una solicitud HTTP especialmente manipulada puede dar lugar a la divulgación de información confidencial. Un usuario que inicia sesión en Keycloak utilizando el complemento DuoUniversalKeycloakAuthenticator desencadena esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Deis Workflow Manager (CVE-2016-15036)
Fecha de publicación:
23/12/2023
Idioma:
Español
** NO SOPORTADO CUANDO SE ASIGNÓ ** Se encontró una vulnerabilidad en Deis Workflow Manager hasta 2.3.2. Ha sido clasificada como problemática. Esto afecta a una parte desconocida. La manipulación conduce a la condición de ejecución. La complejidad del ataque es bastante alta. Se dice que la explotabilidad es difícil. La actualización a la versión 2.3.3 puede solucionar este problema. El parche se llama 31fe3bccbdde134a185752e53380330d16053f7f. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-248847. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/08/2024

Vulnerabilidad en w3c online-spellchecker-py (CVE-2014-125108)
Fecha de publicación:
23/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en w3c online-spellchecker-py hasta 20140130. Se ha calificado como problemática. Este problema afecta un procesamiento desconocido del corrector ortográfico de archivos. La manipulación conduce a cross site scripting. El ataque puede iniciarse de forma remota. La complejidad de un ataque es bastante alta. Se sabe que la explotación es difícil. El identificador del parche es d6c21fd8187c5db2a50425ff80694149e75d722e. Se recomienda aplicar un parche para solucionar este problema. A esta vulnerabilidad se le asignó el identificador VDB-248849.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en Red Hat Enterprise Linux (CVE-2023-7008)
Fecha de publicación:
23/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en systemd-resolved. Este problema puede permitir que systemd-resolved acepte registros de dominios firmados por DNSSEC incluso cuando no tienen firma, lo que permite que los intermediarios (o el solucionador de DNS ascendente) manipulen los registros.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Divi theme para WordPress (CVE-2023-6744)
Fecha de publicación:
23/12/2023
Idioma:
Español
Divi theme para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código corto 'et_pb_text' del complemento en todas las versiones hasta la 4.23.1 inclusive debido a una sanitización de entrada insuficiente y a un escape de salida en los datos de campo personalizados proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/12/2023

Vulnerabilidad en Widget Settings Importer/Exporter Plugin for WordPress (CVE-2020-36769)
Fecha de publicación:
23/12/2023
Idioma:
Español
Widget Settings Importer/Exporter Plugin for WordPress es vulnerable a Cross-Site Scripting almacenado a través de la acción AJAX wp_ajax_import_widget_dataparameter en versiones hasta la 1.5.3 inclusive debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados con permisos de nivel de suscriptor y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/12/2023

Vulnerabilidad en ioLogik E1200 (CVE-2023-5962)
Fecha de publicación:
23/12/2023
Idioma:
Español
Se ha identificado una vulnerabilidad de algoritmo criptográfico débil en las versiones de firmware de la serie ioLogik E1200 v3.3 y anteriores. Esta vulnerabilidad puede ayudar a un atacante a comprometer la confidencialidad de datos confidenciales. Esta vulnerabilidad puede llevar a un atacante a obtener una autorización inesperada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2024

Vulnerabilidad en ioLogik E1200 (CVE-2023-5961)
Fecha de publicación:
23/12/2023
Idioma:
Español
Se identificó una vulnerabilidad de Cross-Site Request Forgery (CSRF) en las versiones de firmware de la serie ioLogik E1200 v3.3 y anteriores. Un atacante puede aprovechar esta vulnerabilidad para engañar a un cliente para que realice una solicitud no intencionada al servidor web, que será tratada como una solicitud auténtica. Esta vulnerabilidad puede llevar a un atacante a realizar operaciones en nombre del usuario víctima.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/12/2023

Vulnerabilidad en Backup Migration para WordPress (CVE-2023-6971)
Fecha de publicación:
23/12/2023
Idioma:
Español
El complemento Backup Migration para WordPress es vulnerable a la inclusión remota de archivos en las versiones 1.0.8 a 1.3.9 a través del encabezado HTTP 'content-dir'. Esto hace posible que atacantes no autenticados incluyan archivos remotos en el servidor, lo que resulta en la ejecución de código. NOTA: La explotación exitosa de esta vulnerabilidad requiere que el php.ini del servidor de destino esté configurado con 'allow_url_include' establecido en 'on'. Esta característica está obsoleta a partir de PHP 7.4 y está deshabilitada de forma predeterminada, pero aún se puede habilitar explícitamente en versiones posteriores de PHP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/12/2023

Vulnerabilidad en Backup Migration para WordPress (CVE-2023-6972)
Fecha de publicación:
23/12/2023
Idioma:
Español
El complemento Backup Migration para WordPress es vulnerable a Path Traversal en todas las versiones hasta la 1.3.9 inclusive a través de 'content-backups' y 'content-name', 'content-manifest' o 'content-bmitmp' y Encabezados HTTP 'identidad de contenido'. Esto hace posible que atacantes no autenticados eliminen archivos arbitrarios, incluido el archivo wp-config.php, lo que puede hacer posible la toma de control del sitio y la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/12/2023

Vulnerabilidad en Backup Migration para WordPress (CVE-2023-7002)
Fecha de publicación:
23/12/2023
Idioma:
Español
El complemento Backup Migration para WordPress es vulnerable a la inyección de comandos del sistema operativo en todas las versiones hasta la 1.3.9 inclusive a través del parámetro 'url'. Esta vulnerabilidad permite a atacantes autenticados, con permisos de nivel de administrador y superiores, ejecutar comandos arbitrarios en el sistema operativo host.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/12/2023
Suscribirse a Vulnerabilidades