Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Checkmk (CVE-2023-31210)
Fecha de publicación:
13/12/2023
Idioma:
Español
El uso de LD_LIBRARY_PATH controlado por el usuario en el agente en Checkmk 2.2.0p10 hasta 2.2.0p16 permite a un usuario malicioso del sitio Checkmk escalar derechos mediante la inyección de librerías maliciosas
Gravedad CVSS v3.1: ALTA
Última modificación:
23/07/2024

Vulnerabilidad en Fortinet FortiWAN (CVE-2023-44251)
Fecha de publicación:
13/12/2023
Idioma:
Español
** NO COMPATIBLE CUANDO SE ASIGNA ** Una limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido ("path traversal") [CWE-22] en Fortinet FortiWAN versión 5.2.0 a 5.2.1 y versión 5.1.1. hasta 5.1.2 puede permitir que un atacante autenticado lea y elimine archivos arbitrarios del sistema a través de solicitudes HTTP o HTTP manipuladas.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2023

Vulnerabilidad en Fortinet FortiWAN (CVE-2023-44252)
Fecha de publicación:
13/12/2023
Idioma:
Español
** NO COMPATIBLE CUANDO ESTÁ ASIGNADO ** Una vulnerabilidad de autenticación incorrecta [CWE-287] en Fortinet FortiWAN versión 5.2.0 a 5.2.1 y versión 5.1.1 a 5.1.2 puede permitir que un atacante autenticado escale sus privilegios a través de solicitudes HTTP o HTTPs con valores de token JWT manipulados.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2023

Vulnerabilidad en FreeBSD (CVE-2023-6534)
Fecha de publicación:
13/12/2023
Idioma:
Español
En las versiones de FreeBSD 14.0-RELEASE anteriores a 14-RELEASE-p2, FreeBSD 13.2-RELEASE anteriores a 13.2-RELEASE-p7 y FreeBSD 12.4-RELEASE anteriores a 12.4-RELEASE-p9, el filtro de paquetes pf(4) valida incorrectamente los números de secuencia TCP. Esto podría permitir que un actor malintencionado ejecute un ataque de denegación de servicio contra hosts detrás del firewall.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2024

Vulnerabilidad en NFS client (CVE-2023-6660)
Fecha de publicación:
13/12/2023
Idioma:
Español
Cuando un programa que se ejecuta en un sistema afectado agrega datos a un archivo a través de un montaje de NFS client, el error puede provocar que el NFS client no pueda copiar los datos que se van a escribir, pero proceda como si la operación de copia se hubiera realizado correctamente. Esto significa que los datos que se van a escribir se reemplazan con cualquier dato que haya estado previamente en el búfer de paquetes. Por lo tanto, un usuario sin privilegios con acceso a un sistema afectado puede abusar del error para provocar la divulgación de información confidencial. En particular, la filtración se limita a datos previamente almacenados en mbufs, que se utilizan para la transmisión y recepción de la red, y para ciertos tipos de comunicación entre procesos. El error también puede ser provocado involuntariamente por aplicaciones del sistema, en cuyo caso los datos escritos por la aplicación en un montaje NFS pueden estar dañados. Los datos corruptos se escriben a través de la red en el servidor NFS y, por lo tanto, también son susceptibles de ser espiados por otros hosts de la red. Tenga en cuenta que el error existe sólo en el NFS client; la versión y la implementación del servidor no tienen ningún efecto sobre si un sistema determinado se ve afectado por el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/03/2024

Vulnerabilidad en Repox (CVE-2023-6718)
Fecha de publicación:
13/12/2023
Idioma:
Español
Se ha encontrado una vulnerabilidad de omisión de autenticación en Repox, que permite a un usuario remoto enviar una solicitud POST especialmente manipulada, debido a la falta de cualquier método de autenticación, lo que resulta en la alteración o creación de usuarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2023

Vulnerabilidad en vmwgfx (CVE-2022-22942)
Fecha de publicación:
13/12/2023
Idioma:
Español
El controlador vmwgfx contiene una vulnerabilidad de escalada de privilegios local que permite a los usuarios sin permisos obtener acceso a archivos abiertos por otros procesos en el sistema a través de un puntero de "archivo" colgante.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2023

Vulnerabilidad en Apache CouchDB (CVE-2023-45725)
Fecha de publicación:
13/12/2023
Idioma:
Español
Las funciones de diseño de documentos que reciben un objeto de solicitud http de usuario pueden exponer los encabezados de cookies de sesión o de autorización del usuario que accede al documento. Estas funciones del documento de diseño son: * lista * mostrar * reescribir * actualizar. Un atacante puede filtrar el componente de la sesión utilizando una salida similar a HTML, insertar la sesión como un recurso externo (como una imagen) o almacenar la credencial en un documento local con una función de "actualización". Para que el ataque tenga éxito, el atacante debe poder insertar los documentos de diseño en la base de datos y luego manipular a un usuario para que acceda a una función desde ese documento de diseño. Workaround: evite el uso de documentos de diseño de fuentes no confiables que puedan intentar acceder o manipular los encabezados de los objetos de solicitud.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2023

Vulnerabilidad en FortiOS y FortiProxy (CVE-2023-47536)
Fecha de publicación:
13/12/2023
Idioma:
Español
Una vulnerabilidad de control de acceso inadecuado [CWE-284] en FortiOS versión 7.2.0, versión 7.0.13 e inferior, versión 6.4.14 e inferior y FortiProxy versión 7.2.3 e inferior, versión 7.0.9 e inferior, versión 2.0.12 y a continuación pueden permitir que un atacante remoto no autenticado evite la política de geolocalización de denegación del firewall sincronizando la omisión con una actualización de la base de datos GeoIP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2023

Vulnerabilidad en xorg-server (CVE-2023-6478)
Fecha de publicación:
13/12/2023
Idioma:
Español
Se encontró una falla en xorg-server. Una solicitud especialmente manipulada a RRChangeProviderProperty o RRChangeOutputProperty puede desencadenar un desbordamiento de enteros que puede provocar la divulgación de información confidencial.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2025

Vulnerabilidad en xorg-server (CVE-2023-6377)
Fecha de publicación:
13/12/2023
Idioma:
Español
Se encontró una falla en xorg-server. Consultar o cambiar las acciones de los botones XKB, como pasar de un panel táctil a un mouse, puede provocar lecturas y escrituras de memoria fuera de los límites. Esto puede permitir una escalada de privilegios local o una posible ejecución remota de código en los casos en que esté involucrado el reenvío X11.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2025

Vulnerabilidad en FortiPortal (CVE-2023-48791)
Fecha de publicación:
13/12/2023
Idioma:
Español
Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando ('Inyección de comando') [CWE-77] en FortiPortal versión 7.2.0, versión 7.0.6 y anteriores puede permitir que un atacante remoto autenticado con al menos permiso R/W ejecute comandos no autorizados a través de argumentos específicamente manipulados en el campo de la página Programar Copia de Seguridad del Sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2023
Suscribirse a Vulnerabilidades