Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Novel-Plus (CVE-2023-7171)
Fecha de publicación:
29/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en Novel-Plus hasta 4.2.0. Ha sido declarada problemática. Una función desconocida del archivo novel-admin/src/main/java/com/java2nb/novel/controller/FriendLinkController.java del componente Friendly Link Handler es afectada por esta vulnerabilidad. La manipulación conduce a cross site scripting. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El parche se llama d6093d8182362422370d7eaf6c53afde9ee45215. Se recomienda aplicar un parche para solucionar este problema. El identificador asociado de esta vulnerabilidad es VDB-249307.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en Hail (CVE-2023-51663)
Fecha de publicación:
29/12/2023
Idioma:
Español
Hail es una herramienta de análisis de datos de código abierto, de uso general y basada en Python con tipos de datos y métodos adicionales para trabajar con datos genómicos. Hail depende de las direcciones de correo electrónico de OpenID Connect (OIDC) de los tokens de identificación para verificar la validez del dominio de un usuario, pero debido a que los usuarios tienen la capacidad de cambiar su dirección de correo electrónico, podrían crear cuentas y usar recursos en clústeres a los que no deberían tener acceso. Por ejemplo, un usuario podría crear una cuenta de Microsoft o Google y luego cambiar su correo electrónico a `test@example.org`. Luego, esta cuenta se puede usar para crear una cuenta de Hail Batch en clústeres de Hail Batch cuyo dominio de organización es `example.org`. El atacante no puede acceder a datos privados ni hacerse pasar por otro usuario, pero tendría la capacidad de ejecutar trabajos si los proyectos de facturación Hail Batch están habilitados y crear Azure Tenants si tienen acceso a Azure Active Directory Administrator.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2024

Vulnerabilidad en tj-actions/verify-changed-files (CVE-2023-52137)
Fecha de publicación:
29/12/2023
Idioma:
Español
La acción [`tj-actions/verify-changed-files`](https://github.com/tj-actions/verify-changed-files) permite la inyección de comandos en nombres de archivos modificados, lo que permite a un atacante ejecutar código arbitrario y potencialmente filtrar secretos. El workflow [`verify-changed-files`](https://github.com/tj-actions/verify-changed-files) devuelve la lista de archivos modificados dentro de una ejecución de flujo de trabajo. Potencialmente, esto podría permitir nombres de archivos que contengan caracteres especiales como `;` que un atacante puede utilizar para hacerse cargo de [GitHub Runner](https://docs.github.com/en/actions/using-github-hosted- runners/about-github-hosted-runners) si el valor de salida se usa sin formato (por lo tanto, se reemplaza directamente antes de la ejecución) dentro de un bloque "run". Al ejecutar comandos personalizados, un atacante puede robar secretos como `GITHUB_TOKEN` si se activan en otros eventos distintos de `pull_request`. Esto ha sido parcheado en las versiones [17](https://github.com/tj-actions/verify-changed-files/releases/tag/v17) y [17.0.0](https://github.com/tj -actions/verify-changed-files/releases/tag/v17.0.0) habilitando `safe_output` de forma predeterminada y devolviendo rutas de nombres de archivos que escapan de caracteres especiales para entornos bash.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/01/2024

Vulnerabilidad en Python de Visual Studio Code (CVE-2020-17163)
Fecha de publicación:
29/12/2023
Idioma:
Español
Vulnerabilidad de ejecución remota de código en la extensión Python de Visual Studio Code
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en jline-groovy v3.24.1 (CVE-2023-50572)
Fecha de publicación:
29/12/2023
Idioma:
Español
Un problema en el componente GroovyEngine.execute de jline-groovy v3.24.1 permite a los atacantes provocar un error OOM (OutofMemory).
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

Vulnerabilidad en CodePeople Calculated Fields Form (CVE-2023-51517)
Fecha de publicación:
29/12/2023
Idioma:
Español
Vulnerabilidad de redirección de URL a un sitio que no es de confianza ("Open Redirect") en CodePeople Calculated Fields Form. Este problema afecta a Calculated Fields Forms: desde n/a hasta 1.2.28.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2024

Vulnerabilidad en Senol Sahin AI Power: Complete AI Pack – Powered by GPT-4 (CVE-2023-51527)
Fecha de publicación:
29/12/2023
Idioma:
Español
Vulnerabilidad de exposición de información confidencial a un actor no autorizado en Senol Sahin AI Power: Complete AI Pack – Powered by GPT-4. Este problema afecta a AI Power: Complete AI Pack – Powered by GPT-4: desde n/a hasta 1.8.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/01/2024

Vulnerabilidad en impleCode Product Catalog Simple (CVE-2023-51687)
Fecha de publicación:
29/12/2023
Idioma:
Español
Vulnerabilidad de exposición de información confidencial a un actor no autorizado en impleCode Product Catalog Simple. Este problema afecta al Product Catalog Simple: desde n/a hasta 1.7.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/01/2024

Vulnerabilidad en impleCode eCommerce Product Catalog Plugin for WordPress (CVE-2023-51688)
Fecha de publicación:
29/12/2023
Idioma:
Español
Vulnerabilidad de exposición de información confidencial a un actor no autorizado en impleCode eCommerce Product Catalog Plugin for WordPress. Este problema afecta a eCommerce Product Catalog Plugin for WordPresss: desde n/a hasta 3.3.26.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/01/2024

Vulnerabilidad en Apache OpenOffice (CVE-2023-47804)
Fecha de publicación:
29/12/2023
Idioma:
Español
Los documentos de Apache OpenOffice pueden contener enlaces que llaman a macros internas con argumentos arbitrarios. Para este fin se definen varios esquemas de URI. Los enlaces se pueden activar mediante clics o mediante eventos automáticos del documento. La ejecución de dichos enlaces debe estar sujeta a la aprobación del usuario. En las versiones afectadas de OpenOffice, no se solicita aprobación para ciertos enlaces; Cuando se activan, dichos enlaces podrían dar lugar a la ejecución de scripts arbitrarios. Este es un caso de esquina de CVE-2022-47502.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Ween Software (CVE-2023-4541)
Fecha de publicación:
29/12/2023
Idioma:
Español
La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Ween Software Admin Panel permite la inyección de SQL. Este problema afecta al Admin Panel: hasta 20231229. NOTA: Se contactó primeramente al proveedor sobre esta divulgación, pero no respondió de nignuna forma.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2024

Vulnerabilidad en Yaztek Software Technologies and Computer Systems E-Commerce Software (CVE-2023-4674)
Fecha de publicación:
29/12/2023
Idioma:
Español
Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Yaztek Software Technologies and Computer Systems E-Commerce Software. El software de comercio electrónico permite la inyección de SQL. Este problema afecta a E-Commerce Software: hasta 20231229. NOTA: Se contactó primeramente al proveedor sobre esta divulgación, pero no respondió de nignuna forma.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/01/2024
Suscribirse a Vulnerabilidades