Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WordPress (CVE-2023-4840)
Fecha de publicación:
12/09/2023
Idioma:
Español
El complemento MapPress Maps de WordPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de código corto 'mappress' en versiones hasta 2.88.4 incluida, debido a la insuficiente sanitización de entrada y salida que escapa en los atributos proporcionados por el usuario. Esto hace posible que los atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2024

Vulnerabilidad en SAP CommonCryptoLib (CVE-2023-40308)
Fecha de publicación:
12/09/2023
Idioma:
Español
SAP CommonCryptoLib permite que un atacante no autenticado cree una solicitud que, cuando se envía a un puerto abierto, provoca un error de corrupción de memoria en una librería, lo que a su vez provoca que el componente de target falle y deje de estar disponible. No hay posibilidad de ver o modificar ninguna información.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2024

Vulnerabilidad en API `process.binding()` (CVE-2023-32558)
Fecha de publicación:
12/09/2023
Idioma:
Español
El uso de la API obsoleta `process.binding()` puede omitir el modelo de permiso a través del Path Traversal. Esta vulnerabilidad afecta a todos los usuarios que utilizan el modelo de permisos experimental en Node.js 20.x. Tenga en cuenta que en el momento en que se emitió este CVE, el modelo de permiso es una característica experimental de Node.js.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2023

Vulnerabilidad en SAP NetWeaver (CVE-2023-41367)
Fecha de publicación:
12/09/2023
Idioma:
Español
Debido a la falta de verificación de autenticación en la aplicación webdynpro, un usuario no autorizado en SAP NetWeaver ((Guided Procedures) - versión 7.50, puede obtener acceso a la vista de administrador de la función específica de forma anónima. En la explotación exitosa de la vulnerabilidad en circunstancias específicas, el atacante puede ver la dirección de correo electrónico del usuario. No hay impacto en la integridad/disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform (CVE-2023-37489)
Fecha de publicación:
12/09/2023
Idioma:
Español
Debido a la falta de validación, SAP BusinessObjects Business Intelligence Platform (Version Management System) - versión 403, permite que un usuario no autenticado lea el fragmento de código a través de la interfaz de usuario, lo que conduce a un bajo impacto en la confidencialidad y ningún impacto en la disponibilidad o integridad de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2023

Vulnerabilidad en S4 HANA (CVE-2023-41368)
Fecha de publicación:
12/09/2023
Idioma:
Español
El servicio OData de S4 HANA (Manage checkbook apps), versiones 102, 103, 104, 105, 106, 107, permite a un atacante cambiar el nombre del checkbook simulando una llamada OData de actualización.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2023

Vulnerabilidad en SAP S/4HANA (CVE-2023-41369)
Fecha de publicación:
12/09/2023
Idioma:
Español
La aplicación Create Single Payment de SAP S/4HANA - versiones 100, 101, 102, 103, 104, 105, 106, 107, 108, permite a un atacante cargar el archivo XML como datos adjuntos. Cuando se hace clic en el archivo XML en la sección de datos adjuntos, el archivo se abre en el navegador para hacer que los bucles de entidad ralenticen el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2023

Vulnerabilidad en Node.js (CVE-2023-32005)
Fecha de publicación:
12/09/2023
Idioma:
Español
Se ha identificado una vulnerabilidad en la versión 20 de Node.js, que afecta a los usuarios del modelo de permisos experimental cuando se utiliza el indicador --allow-fs-read con un argumento "non-*". Esta falla surge de un modelo de permisos inadecuado que no logra restringir las estadísticas de archivos a través de la API `fs.statfs`. Como resultado, los actores maliciosos pueden recuperar estadísticas de archivos a los que no tienen acceso de lectura explícito. Esta vulnerabilidad afecta a todos los usuarios que utilizan el modelo de permiso experimental en Node.js 20. Tenga en cuenta que en el momento en que se emitió este CVE, el modelo de permiso es una característica experimental de Node.js.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en NVIDIA ConnectX Host Firmware (CVE-2023-25519)
Fecha de publicación:
12/09/2023
Idioma:
Español
NVIDIA ConnectX Host Firmware para BlueField Data Processing Unit contiene una vulnerabilidad en la que un anfitrión restringido puede provocar un error de administración de usuarios incorrecto. Una explotación exitosa de esta vulnerabilidad puede provocar una escalada de privilegios. 
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2023

Vulnerabilidad en GitHub mintplex-labs/anything-llm (CVE-2023-4899)
Fecha de publicación:
12/09/2023
Idioma:
Español
Inyección SQL en el repositorio de GitHub mintplex-labs/anything-llm anterior a 0.0.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2023

Vulnerabilidad en tvOS, iOS, iPadOS, macOS Monterey, macOS Big Sur , macOS Ventura y watchOS (CVE-2023-41990)
Fecha de publicación:
12/09/2023
Idioma:
Español
El problema se solucionó mejorando el manejo de los cachés. Este problema se solucionó en tvOS 16.3, iOS 16.3 y iPadOS 16.3, macOS Monterey 12.6.8, macOS Big Sur 11.7.9, iOS 15.7.8 y iPadOS 15.7.8, macOS Ventura 13.2, watchOS 9.3. El procesamiento de un archivo de fuentes puede provocar la ejecución de código arbitrario. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente en versiones de iOS lanzadas antes de iOS 15.7.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/10/2025

Vulnerabilidad en GitHub mintplex-labs/anything-llm (CVE-2023-4898)
Fecha de publicación:
12/09/2023
Idioma:
Español
Omisión de autenticación por debilidad principal en el repositorio de GitHub mintplex-labs/anything-llm anterior a 0.0.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2023
Suscribirse a Vulnerabilidades