Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SIGMA Lite & Lite +, SIGMA Wide, SIGMA Extreme, MorphoWave Compact/XP, VisionPass, MorphoWave SP (CVE-2023-33217)
Fecha de publicación:
15/12/2023
Idioma:
Español
Al abusar de un defecto de diseño en el mecanismo de actualización del firmware del terminal afectado, es posible provocar una denegación permanente de servicio para el terminal. La única forma de recuperar el terminal es devolviéndolo al fabricante.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2023

Vulnerabilidad en WSO2 (CVE-2023-6838)
Fecha de publicación:
15/12/2023
Idioma:
Español
Vulnerabilidad XSS reflejada se puede explotar alterando un parámetro de solicitud en el endpoint de autenticación. Esto se puede realizar tanto en solicitudes autenticadas como no autenticadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2023

Vulnerabilidad en WSO2 (CVE-2023-6835)
Fecha de publicación:
15/12/2023
Idioma:
Español
Se han identificado varios productos WSO2 como vulnerables debido a la falta de validación de entrada del lado del servidor en la función Foro; la clasificación API podría manipularse.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/12/2023

Vulnerabilidad en WSO2 (CVE-2023-6836)
Fecha de publicación:
15/12/2023
Idioma:
Español
Se han identificado varios productos WSO2 como vulnerables debido a que un ataque de entidad externa XML (XXE) abusa de una característica ampliamente disponible pero rara vez utilizada de los analizadores XML para acceder a información confidencial.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/12/2023

Vulnerabilidad en WSO2 (CVE-2023-6837)
Fecha de publicación:
15/12/2023
Idioma:
Español
Se han identificado varios productos WSO2 como vulnerables para realizar suplantaciones de usuarios mediante el aprovisionamiento JIT. Para que esta vulnerabilidad tenga algún impacto en su implementación, se deben cumplir las siguientes condiciones: * Un IDP configurado para autenticación federada y aprovisionamiento JIT habilitado con la opción "Solicitar nombre de usuario, contraseña y consentimiento". * Un proveedor de servicios que utiliza el IDP anterior para la autenticación federada y tiene habilitada la opción "Afirmar identidad utilizando un identificador de sujeto local asignado". El atacante debe tener: * Una cuenta de usuario nueva y válida en el IDP federado que no se haya utilizado anteriormente. * Conocimiento del nombre de usuario de un usuario válido en el IDP local. Cuando se cumplen todas las condiciones previas, un actor malintencionado podría utilizar el flujo de aprovisionamiento JIT para realizar la suplantación de usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/06/2025

Vulnerabilidad en Kaifa Technology WebITR (CVE-2023-48394)
Fecha de publicación:
15/12/2023
Idioma:
Español
Kaifa Technology WebITR es un sistema de asistencia en línea, su función de carga de archivos no restringe la carga de archivos con tipos peligrosos. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para cargar archivos arbitrarios y ejecutar comandos arbitrarios o interrumpir el servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2023

Vulnerabilidad en Kaifa Technology WebITR (CVE-2023-48395)
Fecha de publicación:
15/12/2023
Idioma:
Español
Kaifa Technology WebITR es un sistema de asistencia en línea, no tiene validación suficiente para la entrada del usuario dentro de una función especial. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para inyectar comandos SQL arbitrarios para leer la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023

Vulnerabilidad en Kaifa Technology WebITR (CVE-2023-48392)
Fecha de publicación:
15/12/2023
Idioma:
Español
Kaifa Technology WebITR es un sistema de asistencia en línea, tiene una vulnerabilidad al usar una clave de cifrado codificada. Un atacante remoto no autenticado puede generar un parámetro de token válido y aprovechar esta vulnerabilidad para acceder al sistema con una cuenta de usuario arbitraria, incluida la cuenta de administrador, para ejecutar los permisos de la cuenta de inicio de sesión y obtener información relevante.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/10/2024

Vulnerabilidad en Kaifa Technology WebITR (CVE-2023-48393)
Fecha de publicación:
15/12/2023
Idioma:
Español
Kaifa Technology WebITR es un sistema de asistencia en línea. Un atacante remoto con privilegios de usuario normal puede obtener información confidencial parcial del sistema a partir de un mensaje de error.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023

Vulnerabilidad en ArmorX Global Technology Corporation ArmorX Spam (CVE-2023-48384)
Fecha de publicación:
15/12/2023
Idioma:
Español
ArmorX Global Technology Corporation ArmorX Spam no tiene validación suficiente para la entrada del usuario dentro de una función especial. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para inyectar comandos SQL arbitrarios para acceder, modificar y eliminar la base de datos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/12/2023

Vulnerabilidad en TAIWAN-CA(TWCA) JCICSecurityTool's Registry (CVE-2023-48387)
Fecha de publicación:
15/12/2023
Idioma:
Español
Las funciones relacionadas con TAIWAN-CA(TWCA) JCICSecurityTool's Registry tienen un filtrado insuficiente para caracteres especiales. Un atacante remoto no autenticado puede inyectar un script malicioso en una página web para realizar un ataque XSS (Stored Cross-Site Scripting).
Gravedad CVSS v3.1: ALTA
Última modificación:
14/10/2024

Vulnerabilidad en Multisuns EasyLog web+ (CVE-2023-48388)
Fecha de publicación:
15/12/2023
Idioma:
Español
Multisuns EasyLog web+ tiene la vulnerabilidad de utilizar credenciales codificadas. Un atacante remoto puede aprovechar esta vulnerabilidad para acceder al sistema y realizar operaciones arbitrarias o interrumpir el servicio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/12/2023
Suscribirse a Vulnerabilidades