Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en TOTOlink X6000R (CVE-2023-46484)
Fecha de publicación:
31/10/2023
Idioma:
Español
Un problema en TOTOlink X6000R V9.4.0cu.852_B20230719 permite a un atacante remoto ejecutar código arbitrario a través de la función setLedCfg.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

Vulnerabilidad en TOTOlink X6000R (CVE-2023-46485)
Fecha de publicación:
31/10/2023
Idioma:
Español
Un problema en TOTOlink X6000R V9.4.0cu.852_B20230719 permite a un atacante remoto ejecutar código arbitrario a través de la función setTracerouteCfg del componente stecgi.cgi.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

CVE-2023-41377
Fecha de publicación:
31/10/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2023. Notes: none.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en FM Elenos ETG150 v3.12 (CVE-2023-37831)
Fecha de publicación:
31/10/2023
Idioma:
Español
Un problema descubierto en el transmisor FM Elenos ETG150 v3.12 permite a los atacantes enumerar cuentas de usuario en función de las respuestas del servidor cuando se envían las credenciales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2024

Vulnerabilidad en FM Elenos ETG150 v3.12 (CVE-2023-37832)
Fecha de publicación:
31/10/2023
Idioma:
Español
La falta de limitación tasa en el transmisor FM Elenos ETG150 v3.12 permite a los atacantes obtener credenciales de usuario mediante fuerza bruta y causar otros impactos no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/11/2023

Vulnerabilidad en Nanoleaf Light strip v3.5.10 (CVE-2023-45955)
Fecha de publicación:
31/10/2023
Idioma:
Español
Un problema descubierto en Nanoleaf Light strip v3.5.10 permite a los atacantes provocar una denegación de servicio mediante comandos de atributos de enlace de escritura manipulados.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2024

Vulnerabilidad en Synapse (CVE-2023-43796)
Fecha de publicación:
31/10/2023
Idioma:
Español
Synapse es un servidor doméstico Matrix de código abierto. Antes de las versiones 1.95.1 y 1.96.0rc1, la información del dispositivo almacenado en caché de usuarios remotos se puede consultar desde Synapse. Esto se puede utilizar para enumerar los usuarios remotos conocidos por un servidor doméstico. Se recomienda a los administradores del sistema que actualicen a Synapse 1.95.1 o 1.96.0rc1 para recibir un parche. Como workaround, se puede utilizar `federation_domain_whitelist` para limitar el tráfico de federación con un servidor doméstico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en SpiceDB (CVE-2023-46255)
Fecha de publicación:
31/10/2023
Idioma:
Español
SpiceDB es una base de datos de código abierto inspirada en Google Zanzíbar para crear y administrar permisos de aplicaciones críticas para la seguridad. Antes de la versión 1.27.0-rc1, cuando el URI del almacén de datos proporcionado tiene un formato incorrecto (por ejemplo, al tener una contraseña que contiene `:`), se imprime el URI completo (incluida la contraseña proporcionada), de modo que la contraseña se muestra en los registros. La versión 1.27.0-rc1 soluciona este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/11/2023

Vulnerabilidad en PX4-Autopilot (CVE-2023-46256)
Fecha de publicación:
31/10/2023
Idioma:
Español
PX4-Autopilot proporciona una solución de control de vuelo PX4 para drones. En las versiones 1.14.0-rc1 y anteriores, PX4-Autopilot tiene una vulnerabilidad de desbordamiento del búfer de montón en la función del analizador debido a la ausencia de verificación del valor `parserbuf_index`. Un mal funcionamiento del dispositivo sensor puede provocar un desbordamiento del búfer de almacenamiento dinámico, lo que provocará un comportamiento inesperado del dron. Las aplicaciones maliciosas pueden aprovechar la vulnerabilidad incluso si no se produce un mal funcionamiento del sensor del dispositivo. Hasta el valor máximo de un `unsigned int`, se pueden escribir datos de tamaño de bytes en el área de memoria del montón. Al momento de la publicación, no hay ninguna versión fija disponible.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/11/2023

Vulnerabilidad en Pimcore Admin Classic (CVE-2023-46722)
Fecha de publicación:
31/10/2023
Idioma:
Español
El paquete Pimcore Admin Classic proporciona una interfaz de usuario de backend para Pimcore. Antes de la versión 1.2.0, una vulnerabilidad de cross-site scripting tenía el potencial de robar la cookie de un usuario y obtener acceso no autorizado a la cuenta de ese usuario a través de la cookie robada o redirigir a los usuarios a otros sitios maliciosos. Los usuarios deben actualizar a la versión 1.2.0 para recibir un parche o, como workaround, aplicar el parche manualmente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/11/2023

Vulnerabilidad en lte-pic32-write (CVE-2023-46723)
Fecha de publicación:
31/10/2023
Idioma:
Español
lte-pic32-writer es un escritor para dispositivos PIC32. En las versiones 0.0.1 y anteriores, quienes usan `sendto.txt` son vulnerables a los atacantes que conocen el IMEI al leer el sendto.txt. El archivo sendto.txt puede contener la URL SNS (como slack y zulip) y la clave API. Al momento de la publicación, aún no hay ningún parche disponible. Como workarounds, evite usar `sendto.txt` o use `.htaccess` para bloquear el acceso a `sendto.txt`.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/11/2023

Vulnerabilidad en HP PC Hardware Diagnostics de Windows (CVE-2023-5739)
Fecha de publicación:
31/10/2023
Idioma:
Español
Ciertas versiones HP PC Hardware Diagnostics de Windows son potencialmente vulnerables a la elevación de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024
Suscribirse a Vulnerabilidades