Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Photo Feed (CVE-2023-47522)
Fecha de publicación:
14/11/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento Photo Feed en versiones <= 2.2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/11/2023

Vulnerabilidad en CodeBard (CVE-2023-47524)
Fecha de publicación:
14/11/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada (requiere PHP 8.x) en CodeBard Patron Button y Widgets de CodeBard para el complemento Patreon en versiones <= 2.1.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/11/2023

Vulnerabilidad en ASP.NET Core (CVE-2023-36558)
Fecha de publicación:
14/11/2023
Idioma:
Español
Vulnerabilidad de omisión de funciones de seguridad en ASP.NET Core
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2025

Vulnerabilidad en AMI AptioV (CVE-2023-39535)
Fecha de publicación:
14/11/2023
Idioma:
Español
AMI AptioV contiene una vulnerabilidad en el BIOS donde un atacante puede utilizar una validación de entrada incorrecta a través de la red local. Una explotación exitosa de esta vulnerabilidad puede provocar una pérdida de confidencialidad, integridad y disponibilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2023

Vulnerabilidad en AMI AptioV (CVE-2023-39536)
Fecha de publicación:
14/11/2023
Idioma:
Español
AMI AptioV contiene una vulnerabilidad en el BIOS donde un atacante puede utilizar una validación de entrada incorrecta a través de la red local. Una explotación exitosa de esta vulnerabilidad puede provocar una pérdida de confidencialidad, integridad y disponibilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2023

Vulnerabilidad en AMI AptioV (CVE-2023-39537)
Fecha de publicación:
14/11/2023
Idioma:
Español
AMI AptioV contiene una vulnerabilidad en el BIOS donde un atacante puede utilizar una validación de entrada incorrecta a través de la red local. Una explotación exitosa de esta vulnerabilidad puede provocar una pérdida de confidencialidad, integridad y disponibilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2023

Vulnerabilidad en Tenda AX1803 (CVE-2022-45781)
Fecha de publicación:
14/11/2023
Idioma:
Español
La vulnerabilidad de desbordamiento de búfer en Tenda AX1803 v1.0.0.1_2994 y versiones anteriores permite a los atacantes ejecutar código arbitrario a través de /goform/SetOnlineDevName.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/09/2024

Vulnerabilidad en ASP.NET Core (CVE-2023-36038)
Fecha de publicación:
14/11/2023
Idioma:
Español
Vulnerabilidad de denegación de servicio de ASP.NET Core
Gravedad CVSS v3.1: ALTA
Última modificación:
29/05/2024

Vulnerabilidad en Kubernetes (CVE-2023-5528)
Fecha de publicación:
14/11/2023
Idioma:
Español
Se descubrió un problema de seguridad en Kubernetes donde un usuario que puede crear pods y volúmenes persistentes en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Los clústeres de Kubernetes solo se ven afectados si utilizan un complemento de almacenamiento en árbol para nodos de Windows.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/01/2025

Vulnerabilidad en Kyverno para Kubernetes (CVE-2023-47630)
Fecha de publicación:
14/11/2023
Idioma:
Español
Kyverno es un motor de políticas manipulado para Kubernetes. Se encontró un problema en Kyverno que permitió a un atacante controlar el resumen de imágenes utilizadas por los usuarios de Kyverno. El problema requeriría que el atacante comprometiera el registro del que los usuarios de Kyverno obtienen sus imágenes. Luego, el atacante podría devolver una imagen vulnerable al usuario y aprovecharla para escalar aún más su posición. Como tal, el atacante necesitaría saber qué imágenes consume el usuario de Kyverno y conocer una de las múltiples vulnerabilidades explotables en resúmenes anteriores de las imágenes. Alternativamente, si el atacante ha comprometido el registro, podría crear una imagen maliciosa con un resumen diferente con vulnerabilidades colocadas intencionalmente y entregar la imagen al usuario. Los usuarios que extraen sus imágenes de resúmenes y de registros confiables no se ven afectados por esta vulnerabilidad. No hay evidencia de que esto haya sido explotado en la naturaleza. El problema se solucionó en 1.10.5. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2023

Vulnerabilidad en vantage6 (CVE-2023-47631)
Fecha de publicación:
14/11/2023
Idioma:
Español
vantage6 es un framework para gestionar e implementar tecnologías que mejoran la privacidad, como el Federated Learning (FL) y la Multi-Party Computation (MPC). En las versiones afectadas, un nodo no verifica si se permite ejecutar una imagen si se establece un "parent_id". Una parte malintencionada que infrinja el servidor puede modificarlo para establecer un "parent_id" falso y enviar una tarea de un algoritmo no incluido en la lista blanca. Luego, el nodo lo ejecutará porque el `parent_id` que está configurado impide que se ejecuten comprobaciones. Esto afecta a todos los servidores que son vulnerados por un usuario experto. Esta vulnerabilidad ha sido parcheada en la versión 4.1.2. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2023

Vulnerabilidad en DataHub (CVE-2023-47640)
Fecha de publicación:
14/11/2023
Idioma:
Español
DataHub es una plataforma de metadatos de código abierto. La firma HMAC para las sesiones de DataHub Frontend se firmaba utilizando un HMAC SHA-1 con la clave secreta de frontend. SHA1 con una clave de 10 bytes puede ser forzado de forma bruta utilizando recursos suficientes (es decir, actores a nivel de estado con grandes capacidades computacionales). DataHub Frontend estaba utilizando Play LegacyCookiesModule con configuración predeterminada que utiliza SHA1 HMAC para firmar. Esto se ve agravado por el uso de una longitud de clave más corta que la recomendada de forma predeterminada para la clave de firma para el valor secreto aleatorio. Un atacante autenticado (o un atacante que de otro modo haya obtenido un token de sesión) podría descifrar la clave de firma de DataHub y obtener privilegios escalados generando una cookie de sesión privilegiada. Debido a que la longitud de la clave es parte del riesgo, las implementaciones deben actualizarse al gráfico de timón más reciente y rotar su secreto de firma de sesión. Todas las implementaciones que utilizan las configuraciones predeterminadas del gráfico de timón para generar la clave secreta de Play utilizada para firmar se ven afectadas por esta vulnerabilidad. La versión 0.11.1 resuelve esta vulnerabilidad. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2023
Suscribirse a Vulnerabilidades