Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ASUS RT-AX56U V (CVE-2023-39240)
Fecha de publicación:
07/09/2023
Idioma:
Español
Se identificó una vulnerabilidad de cadena de formato en la API de función de cliente iperf de ASUS RT-AX56U V2. Esta vulnerabilidad se debe a la falta de validación para un valor específico dentro de su módulo set_iperf3_cli.cgi. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad sin privilegios para realizar la ejecución remota de código arbitrario, el funcionamiento arbitrario del sistema o interrumpir el servicio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AX56U V2 (CVE-2023-39238)
Fecha de publicación:
07/09/2023
Idioma:
Español
Se ha identificado una vulnerabilidad de cadena de formato en ASUS RT-AX56U V2. Esta vulnerabilidad se debe a la falta de validación de un valor específico dentro de su módulo set_iperf3_svr.cgi. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad sin privilegios para realizar la ejecución remota de código arbitrario, el funcionamiento arbitrario del sistema o interrumpir el servicio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AX56U V2 (CVE-2023-39239)
Fecha de publicación:
07/09/2023
Idioma:
Español
Se identificó una vulnerabilidad de cadena de formato en la API de función general de ASUS RT-AX56U V2. Esta vulnerabilidad se debe a la falta de validación de un valor específico dentro de su módulo apply.cgi. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad sin privilegios para realizar la ejecución remota de código arbitrario, el funcionamiento arbitrario del sistema o interrumpir el servicio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-38032)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función relacionada con la seguridad AiProtection de ASUS RT-AC86U no tiene suficiente filtrado de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-38033)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función heredada Statisctis en el Analizador de Tráfico no utilizado de ASUS RT-AC86U tiene un filtrado insuficiente de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-39236)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función de análisis Statistics en el Analizador de Tráfico ASUS RT-AC86U tiene un filtrado insuficiente de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-39237)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función de análisis Apps en el Analizador de Tráfico ASUS RT-AC86U tiene un filtrado insuficiente de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en answerdev/answer de Github (CVE-2023-4815)
Fecha de publicación:
07/09/2023
Idioma:
Español
Falta de Autenticación para la Función Crítica en el repositorio de GitHub answerdev/answer antes de la versión 1.1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en ASUS RT-AC86U (CVE-2023-38031)
Fecha de publicación:
07/09/2023
Idioma:
Español
La función Adaptive Qos - Web History de ASUS RT-AC86U tiene un filtrado insuficiente de caracteres especiales. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o terminar servicios.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en Soar Cloud System Ltd. HR Portal (CVE-2023-34357)
Fecha de publicación:
07/09/2023
Idioma:
Español
Soar Cloud Ltd. HR Portal dispone de un mecanismo de recuperación de contraseñas débil para contraseñas olvidadas. El enlace de restablecimiento de contraseña se envía a través del correo electrónico, y el enlace seguirá siendo válido después de que la contraseña haya sido restablecida y después de la fecha de caducidad prevista. Un atacante con acceso al historial del navegador o al enlace puede así utilizar la URL de nuevo para cambiar la contraseña con el fin de hacerse cargo de la cuenta.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2023

Vulnerabilidad en Plugin Duplicate Post Page Menu & Custom Post Type (CVE-2023-4792)
Fecha de publicación:
07/09/2023
Idioma:
Español
El plugin Duplicate Post Page Menu & Custom Post Type para WordPress es vulnerable a la duplicación no autorizada de páginas y entradas debido a la falta de una comprobación de capacidad en la función "duplicate_ppmc_post_as_draft" en versiones hasta la 2.3.1 inclusive. Esto hace posible que atacantes autenticados con acceso a suscriptor o superior dupliquen entradas y páginas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Plugin Newsletter para WordPress (CVE-2023-4772)
Fecha de publicación:
07/09/2023
Idioma:
Español
El plugin Newsletter para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode "newsletter_form" en versiones hasta, e incluyendo, la 7.8.9 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades