Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PrestaShop (CVE-2023-45376)
Fecha de publicación:
19/10/2023
Idioma:
Español
En el módulo "Carousels Pack - Instagram, Products, Brands, Supplier" (hicarouselspack) para PrestaShop hasta la versión 1.5.0 de HiPresta para PrestaShop, un invitado puede realizar una inyección SQL a través de HiCpProductGetter::getViewedProduct().`
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/10/2023

Vulnerabilidad en TinyLab linux-lab y cloud-labv0.8-rc2 (CVE-2022-42150)
Fecha de publicación:
19/10/2023
Idioma:
Español
TinyLab linux-lab v1.1-rc1 y cloud-labv0.8-rc2, v1.1-rc1 son vulnerables a permisos inseguros. La configuración predeterminada podría provocar el escape del contenedor.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en IXP Data Easy Install 6.6.148840 (CVE-2023-27791)
Fecha de publicación:
19/10/2023
Idioma:
Español
Un problema encontrado en IXP Data Easy Install 6.6.148840 permite a un atacante remoto escalar privilegios a través de PRNG inseguro.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en TrEEConfigDriver de Insyde InsydeH2O (CVE-2023-30633)
Fecha de publicación:
19/10/2023
Idioma:
Español
Se descubrió un problema en TrEEConfigDriver de Insyde InsydeH2O con kernel 5.0 a 5.5. Puede informar valores falsos de TPM PCR y, por tanto, enmascarar la actividad de malware. Los dispositivos utilizan Platform Configuration Registers (PCR) para registrar información sobre la configuración del dispositivo y del software para garantizar que el proceso de arranque sea seguro. (Por ejemplo, Windows utiliza estas mediciones de PCR para determinar el estado del dispositivo). Un dispositivo vulnerable puede hacerse pasar por un dispositivo en buen estado extendiendo valores arbitrarios a los bancos del Platform Configuration Registers (PCR). Esto requiere acceso físico al dispositivo de la víctima objetivo o comprometer las credenciales de usuario de un dispositivo. Este problema es similar a CVE-2021-42299 (en dispositivos Surface Pro).
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/10/2023

Vulnerabilidad en Go (CVE-2023-45825)
Fecha de publicación:
19/10/2023
Idioma:
Español
ydb-go-sdk es un controlador de base de datos/sql y nativo de Go puro para la plataforma YDB. Desde ydb-go-sdk v3.48.6, si usa un objeto de credenciales personalizado (implementación de la interfaz Credenciales, puede filtrarse en los registros. Esto sucede porque este objeto podría serializarse en un mensaje de error usando `fmt.Errorf("something went wrong (credentials: %q)", credenciales)` durante la conexión al servidor YDB. Si se produjera dicho registro, un usuario malintencionado con acceso a los registros podría leer información confidencial (es decir, credenciales) y utilizarla para obtener acceso a la base de datos. ydb- go-sdk contiene este problema en las versiones de v3.48.6 a v3.53.2. La solución para este problema se publicó en la versión v3.53.3. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben implementar la interfaz `fmt.Stringer` en su tipo de credenciales personalizadas con cadena explícita del estado del objeto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2023

Vulnerabilidad en Leantime (CVE-2023-45826)
Fecha de publicación:
19/10/2023
Idioma:
Español
Leantime es un sistema de gestión de proyectos de código abierto. Una variable 'userId' en `app/domain/files/repositories/class.files.php` no está parametrizada. Un atacante autenticado puede enviar una solicitud POST cuidadosamente manipulada a `/api/jsonrpc` para explotar una vulnerabilidad de inyección SQL. La confidencialidad se ve afectada ya que permite descargar información de la base de datos. Este problema se solucionó en la versión 2.4-beta-4. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2023

Vulnerabilidad en RUCKUS Cloudpath (CVE-2023-45992)
Fecha de publicación:
19/10/2023
Idioma:
Español
Una vulnerabilidad en la interfaz web del producto RUCKUS Cloudpath en la versión 5.12 build 5538 o anterior podría permitir que un atacante remoto no autenticado ejecute ataques XSS y CSRF persistentes contra un usuario de la interfaz de gestión de administración. Un ataque exitoso, combinado con una determinada actividad administrativa, podría permitir al atacante obtener privilegios completos de administrador en el sistema explotado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/01/2024

Vulnerabilidad en DexGate (CVE-2023-40153)
Fecha de publicación:
19/10/2023
Idioma:
Español
El producto afectado es vulnerable a Cross-Site Scripting, lo que podría permitir a un atacante acceder a la aplicación web para introducir Java Script arbitrario inyectando un payload XSS en el parámetro 'hostname' del software vulnerable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en DexGate (CVE-2023-41088)
Fecha de publicación:
19/10/2023
Idioma:
Español
El producto afectado es vulnerable a transmisión de texto plano de información confidencial, lo que puede permitir que un atacante con acceso a la red, donde los clientes tienen acceso al servidor DexGate, pueda capturar el tráfico. Posteriormente, el atacante puede utilizar la información que contiene para acceder a la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en DexGate (CVE-2023-41089)
Fecha de publicación:
19/10/2023
Idioma:
Español
El producto afectado por una vulnerabilidad de autenticación inadecuada, que puede permitir a un atacante hacerse pasar por un usuario legítimo siempre que el dispositivo mantenga la sesión activa, ya que el ataque aprovecha el encabezado de la cookie para generar solicitudes "legitimate".
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en DexGate (CVE-2023-42435)
Fecha de publicación:
19/10/2023
Idioma:
Español
El producto afectado por una vulnerabilidad de Cross-Site Request Forgery, que puede permitir a un atacante realizar acciones con los permisos de un usuario víctima.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en DexGate (CVE-2023-42666)
Fecha de publicación:
19/10/2023
Idioma:
Español
El producto afectado es vulnerable a la exposición de información confidencial por una vulnerabilidad de actor no autorizado, lo que puede permitir a un atacante crear solicitudes maliciosas para obtener información de la versión del servidor web utilizado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023
Suscribirse a Vulnerabilidades