Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PyDrive2 (CVE-2023-49297)
Fecha de publicación:
05/12/2023
Idioma:
Español
PyDrive2 es una librería contenedora de google-api-python-client que simplifica muchas tareas comunes de la API V2 de Google Drive. La deserilización insegura de YAML dará como resultado la ejecución de código arbitrario. Un archivo YAML creado con fines malintencionados puede provocar la ejecución de código arbitrario si PyDrive2 se ejecuta en el mismo directorio que él o si se carga a través de `LoadSettingsFile`. Este es un ataque de deserilización que afectará a cualquier usuario que inicialice GoogleAuth desde este paquete mientras hay un archivo yaml malicioso presente en el mismo directorio. Esta vulnerabilidad no requiere que el archivo se cargue directamente a través del código, solo está presente. Este problema se solucionó en el commit "c57355dc" que se incluye en la versión "1.16.2". Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/12/2023

Vulnerabilidad en SMA100 SSL-VPN (CVE-2023-5970)
Fecha de publicación:
05/12/2023
Idioma:
Español
La autenticación incorrecta en el portal de oficina virtual SMA100 SSL-VPN permite que un atacante autenticado remoto cree un usuario de dominio externo idéntico utilizando caracteres acentuados, lo que resulta en una omisión de MFA.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2023

Vulnerabilidad en SMA100 SSL-VPN (CVE-2023-44221)
Fecha de publicación:
05/12/2023
Idioma:
Español
La neutralización inadecuada de elementos especiales en la interfaz de administración SMA100 SSL-VPN permite que un atacante remoto autenticado con privilegios administrativos inyecte comandos arbitrarios como un usuario "nobody", lo que podría provocar una vulnerabilidad de inyección de comandos del sistema operativo.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/10/2025

Vulnerabilidad en Elastic (CVE-2023-46674)
Fecha de publicación:
05/12/2023
Idioma:
Español
Se identificó un problema que permitía la deserialización insegura de objetos Java desde propiedades de configuración de Hadoop o Spark que podrían haber sido modificadas por usuarios autenticados. Elastic quisiera agradecer a Yakov Shafranovich, de Amazon Web Services, por informar este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/12/2023

Vulnerabilidad en Unitronics Vision Series (CVE-2023-6448)
Fecha de publicación:
05/12/2023
Idioma:
Español
Los PLC y HMI de Unitronics Vision Series utilizan contraseñas administrativas predeterminadas. Un atacante no autenticado con acceso a la red de un PLC o HMI puede tomar el control administrativo del sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2025

Vulnerabilidad en SoftIron HyperCloud (CVE-2023-45084)
Fecha de publicación:
05/12/2023
Idioma:
Español
Existe un problema en SoftIron HyperCloud donde la extracción y reinserción del drive caddy sin reiniciar puede hacer que el sistema reconozca erróneamente el caddy como un medio nuevo y borre todos los datos de las unidades debido a una falla de sincronización faltante, lo que afecta la disponibilidad e integridad de los datos. Este problema solo afecta a los nodos de almacenamiento de "density" de SoftIron HyperCloud que ejecutan el software HyperCloud desde la versión 1.0 hasta la 2.0.3 anterior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2023

Vulnerabilidad en SoftIron HyperCloud (CVE-2023-45085)
Fecha de publicación:
05/12/2023
Idioma:
Español
Existe un problema en SoftIron HyperCloud donde los nodos de cálculo pueden conectarse inmediatamente sin seguir el proceso de inicialización correcto. En este caso, las cargas de trabajo pueden programarse en estos nodos y desplegarse en un estado fallido o erróneo, lo que afecta la disponibilidad de estas cargas de trabajo que pueden implementarse durante este período de tiempo. Este problema afecta a las versiones de HyperCloud desde la 2.0.0 hasta la 2.0.3 anterior.
Gravedad CVSS v3.1: BAJA
Última modificación:
12/12/2023

Vulnerabilidad en Go (CVE-2023-45287)
Fecha de publicación:
05/12/2023
Idioma:
Español
Antes de Go 1.20, los intercambios de claves TLS basados en RSA utilizaban la librería math/big, que no es un tiempo constante. Se aplicó blinding RSA para prevenir ataques sincronizados, pero el análisis muestra que esto puede no haber sido completamente efectivo. En particular, parece que la eliminación del relleno PKCS#1 puede filtrar información de tiempo, que a su vez podría usarse para recuperar bits de clave de sesión. En Go 1.20, la librería crypto/tls cambió a una implementación RSA de tiempo completamente constante, que no creemos que muestre ningún canal lateral de temporización.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2024

Vulnerabilidad en HyperCloud (CVE-2023-45083)
Fecha de publicación:
05/12/2023
Idioma:
Español
Existe una vulnerabilidad de gestión de privilegios inadecuada en HyperCloud que afectará la capacidad de un usuario para autenticarse en el plano de gestión. Un usuario de nivel de administrador autenticado puede eliminar los usuarios "admin" o "serveadmin", lo que impide que la autenticación se realice correctamente posteriormente. Este problema afecta a las versiones 1.0 de HyperCloud hasta cualquier versión anterior a la 2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2023

Vulnerabilidad en Dell PowerEdge 16G Intel E5 BIOS y Dell Precision BIOS (CVE-2023-44297)
Fecha de publicación:
05/12/2023
Idioma:
Español
Las plataformas Dell PowerEdge 16G Intel E5 BIOS y Dell Precision BIOS, versión 1.4.4, contienen una vulnerabilidad de seguridad de código de depuración activa. Un atacante físico no autenticado podría explotar esta vulnerabilidad, lo que provocaría la divulgación de información, la manipulación de información, la ejecución de código y la denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2023

Vulnerabilidad en Dell PowerEdge 16G Intel E5 BIOS y Dell Precision BIOS (CVE-2023-44298)
Fecha de publicación:
05/12/2023
Idioma:
Español
Las plataformas Dell PowerEdge 16G Intel E5 BIOS y Dell Precision BIOS, versión 1.4.4, contienen una vulnerabilidad de seguridad de código de depuración activa. Un atacante físico no autenticado podría explotar esta vulnerabilidad, lo que provocaría manipulación de información, ejecución de código y denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2023

Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49377)
Fecha de publicación:
05/12/2023
Idioma:
Español
Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/tag/update.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2023
Suscribirse a Vulnerabilidades