Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Palantir Tiles1 (CVE-2023-30969)
Fecha de publicación:
26/10/2023
Idioma:
Español
Se descubrió que el servicio Palantir Tiles1 era vulnerable a un problema en toda la API en el que el servicio no realizaba autenticación/autorización en todos los endpoints.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Anglaise Company Anglaise.Company v.13.6.1 (CVE-2023-38845)
Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en Anglaise Company Anglaise.Company v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en Marbre Lapin Line v.13.6.1 (CVE-2023-38846)
Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en Marbre Lapin Line v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en CHRISTINA JAPAN Line v.13.6.1 (CVE-2023-38847)
Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en CHRISTINA JAPAN Line v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en rmc R Beauty CLINIC Line v.13.6.1 (CVE-2023-38848)
Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en rmc R Beauty CLINIC Line v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en Tire-Sales Line v.13.6.1 (CVE-2023-38849)
Fecha de publicación:
25/10/2023
Idioma:
Español
Un problema en Tire-Sales Line v.13.6.1 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2024

Vulnerabilidad en era-compiler-vyper (CVE-2023-46232)
Fecha de publicación:
25/10/2023
Idioma:
Español
era-compiler-vyper es el compilador EraVM Vyper para zkSync Era, un paquete acumulativo de capa 2 que utiliza pruebas de conocimiento cero para escalar Ethereum. Antes de la versión 1.3.10 de era-compiler-vype, un error impedía la inicialización de la primera variable inmutable para los contratos de Vyper que cumplían ciertos criterios. El problema surge cuando hay un String o Array con más palabras de 256 bits asignadas que inicializadas. Esto da como resultado que el índice de la segunda palabra no esté configurado, que efectivamente se establece en 0, por lo que el primer valor inmutable con el índice 0 real se sobrescribe en ImmutableSimulator. La versión 1.3.10 soluciona este problema configurando todos los índices por adelantado. El problema desaparecerá, pero será más costoso si el usuario asigna una gran cantidad de espacio no inicializado, por ejemplo, `String[4096]`. Actualizar y redistribuir los contratos afectados es la única forma de solucionar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/11/2023

Vulnerabilidad en PHPGurukul Nipah virus (NiV) " Testing Management System v.1.0 (CVE-2023-46583)
Fecha de publicación:
25/10/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting (XSS) en PHPGurukul Nipah virus (NiV) " Testing Management System v.1.0 permite a los atacantes ejecutar código arbitrario a través de un payload manipulado inyectado en el campo Estado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2023

Vulnerabilidad en PHPGurukul Nipah virus (NiV) " Testing Management System v.1.0 (CVE-2023-46584)
Fecha de publicación:
25/10/2023
Idioma:
Español
Vulnerabilidad de inyección SQL en PHPGurukul Nipah virus (NiV) " Testing Management System v.1.0 permite a un atacante remoto escalar privilegios a través de una solicitud manipulada al endpoint new-user-testing.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2023

Vulnerabilidad en XWiki Platform (CVE-2023-45137)
Fecha de publicación:
25/10/2023
Idioma:
Español
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. `org.xwiki.platform:xwiki-platform-web` a partir de la versión 3.1-milestone-2 y anteriores a la versión 13.4-rc-1, así como `org.xwiki.platform:xwiki-platform-web-templates` anteriores a las versiones 14.10.12 y 15.5-rc-1, son vulnerables a Cross-Site Scripting (XSS). Al intentar crear un documento que ya existe, XWiki muestra un mensaje de error en el formulario para crearlo. Debido a la falta de escape, este mensaje de error es vulnerable a la inyección de HTML sin formato y, por lo tanto, de XSS. El código inyectado es la referencia del documento existente, por lo que esto requiere que el atacante primero cree un documento no vacío cuyo nombre contenga el código de ataque. Esto se ha parcheado en `org.xwiki.platform:xwiki-platform-web` versión 13.4-rc-1 y `org.xwiki.platform:xwiki-platform-web-templates` versiones 14.10.12 y 15.5-rc-1. agregando el escape apropiado. El archivo de plantilla vulnerable `createinline.vm` es parte de WAR de XWiki y se puede parchear aplicando manualmente los cambios de la solución.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en CryptoES (CVE-2023-46133)
Fecha de publicación:
25/10/2023
Idioma:
Español
CryptoES es una librería de algoritmos de criptografía compatible con ES6 y TypeScript. Antes de la versión 2.1.0, CryptoES PBKDF2 es 1000 veces más débil de lo especificado originalmente en 1993, y al menos 1.300.000 veces más débil que el estándar actual de la industria. Esto se debe a que su valor predeterminado es SHA1, un algoritmo hash criptográfico considerado inseguro desde al menos 2005, y su valor predeterminado es una sola iteración, un valor de "fuerza" o "dificultad" especificado en 1000 cuando se especificó en 1993. PBKDF2 se basa en el recuento de iteraciones como una contramedida a los ataques de preimagen y colisión. Si se utiliza para proteger contraseñas, el impacto es alto. Si se utiliza para generar firmas, el impacto es alto. La versión 2.1.0 contiene un parche para este problema. Como workaround, configure CryptoES para usar SHA256 con al menos 250 000 iteraciones.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/11/2023

Vulnerabilidad en D-Tale (CVE-2023-46134)
Fecha de publicación:
25/10/2023
Idioma:
Español
D-Tale es la combinación de un back-end de Flask y un front-end de React para ver y analizar las estructuras de datos de Pandas. Antes de la versión 3.7.0, los usuarios que alojaban D-Tale públicamente podían ser vulnerables a la ejecución remota de código, lo que permitía a los atacantes ejecutar código malicioso en el servidor. Este problema se solucionó en la versión 3.7.0 desactivando la entrada "Filtro personalizado" de forma predeterminada. El único workaround para versiones anteriores a la 3.7.0 es alojar D-Tale únicamente para usuarios confiables.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/11/2023
Suscribirse a Vulnerabilidades