Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-20168
Fecha de publicación:
23/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in TACACS+ and RADIUS remote authentication for Cisco NX-OS Software could allow an unauthenticated, local attacker to cause an affected device to unexpectedly reload. This vulnerability is due to incorrect input validation when processing an authentication attempt if the directed request option is enabled for TACACS+ or RADIUS. An attacker could exploit this vulnerability by entering a crafted string at the login prompt of an affected device. A successful exploit could allow the attacker to cause the affected device to unexpectedly reload, resulting in a denial of service (DoS) condition.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

CVE-2023-40270
Fecha de publicación:
23/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2023-38831. Reason: This candidate is a reservation duplicate of CVE-2023-38831. Notes: All CVE users should reference CVE-2023-38831 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2023-39583
Fecha de publicación:
23/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2023-38831. Reason: This candidate is a reservation duplicate of CVE-2023-38831. Notes: All CVE users should reference CVE-2023-38831 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en RARLAB WinRAR (CVE-2023-38831)
Fecha de publicación:
23/08/2023
Idioma:
Español
RARLAB WinRAR anterior a la versión 6.23 permite a los atacantes ejecutar código arbitrario cuando un usuario intenta ver un archivo benigno dentro de un archivo ZIP. El problema se produce porque un archivo ZIP puede incluir un archivo benigno (como un archivo .JPG normal) y también una carpeta que tiene el mismo nombre que el archivo benigno, y el contenido de la carpeta (que puede incluir contenido ejecutable) se procesa durante un intento de acceder únicamente al archivo benigno. Esto se explotó de forma activa entre abril y octubre de 2023.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/10/2025

Vulnerabilidad en Apache Airflow (CVE-2023-39441)
Fecha de publicación:
23/08/2023
Idioma:
Español
Apache Airflow SMTP Provider antes de 1.3.0, Apache Airflow IMAP Provider antes de 3.3.0, y Apache Airflow antes de 2.7.0 están afectados por la vulnerabilidad Validation of OpenSSL Certificate. El contexto SSL por defecto con la librería SSL no comprobaba el certificado X.509 de un servidor. En su lugar, el código aceptaba cualquier certificado, lo que podía dar lugar a la revelación de credenciales del servidor de correo o del contenido del correo cuando el cliente se conectaba a un atacante en posición MITM. Se recomienda encarecidamente a los usuarios que actualicen a Apache Airflow versión 2.7.0 o posterior, Apache Airflow IMAP Provider versión 3.3.0 o posterior y Apache Airflow SMTP Provider versión 1.3.0 o posterior para mitigar el riesgo asociado a esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2023

Vulnerabilidad en Airflow (CVE-2023-40273)
Fecha de publicación:
23/08/2023
Idioma:
Español
La vulnerabilidad de fijación de sesión permitía al usuario autenticado seguir accediendo al servidor web de Airflow incluso después de que el administrador hubiera restablecido la contraseña del usuario, hasta la expiración de la sesión del usuario. Aparte de limpiar manualmente la base de datos de sesiones (para el backend de sesión de base de datos), o cambiar la secure_key y reiniciar el servidor web, no había mecanismos para forzar el cierre de sesión del usuario (y de todos los demás usuarios). Con esta corrección implementada, cuando se utiliza el backend de sesión de base de datos, las sesiones existentes del usuario se invalidan cuando se restablece la contraseña del usuario. Cuando se utiliza el backend de sesión securecookie, las sesiones NO se invalidan y sigue siendo necesario cambiar la clave segura y reiniciar el servidor web (y cerrar la sesión de todos los demás usuarios), pero el usuario que restablece la contraseña es informado de ello con un mensaje flash de advertencia que se muestra en la interfaz de usuario. También se ha actualizado la documentación explicando este comportamiento. Se recomienda a los usuarios de Apache Airflow que actualicen a la versión 2.7.0 o posterior para mitigar el riesgo asociado a esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/09/2024

Vulnerabilidad en Apache Airflow (CVE-2023-37379)
Fecha de publicación:
23/08/2023
Idioma:
Español
Apache Airflow, en versiones anteriores a la 2.7.0, contiene una vulnerabilidad de seguridad que puede ser explotada por un usuario autenticado que posea privilegios de edición de conexión. Esta vulnerabilidad permite al usuario acceder a la información de conexión y explotar la función de conexión de prueba enviando muchas peticiones, lo que provoca una denegación de servicio (DoS) en el servidor. Además, actores maliciosos pueden aprovechar esta vulnerabilidad para establecer conexiones dañinas con el servidor. Se recomienda encarecidamente a los usuarios de Apache Airflow que actualicen a la versión 2.7.0 o posterior para mitigar el riesgo asociado a esta vulnerabilidad. Además, se recomienda a los administradores que revisen y ajusten los permisos de usuario para restringir el acceso a funcionalidades sensibles, reduciendo la superficie de ataque.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

CVE-2023-1409
Fecha de publicación:
23/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** If the MongoDB Server running on Windows or macOS is configured to use TLS with a specific set of configuration options that are already known to work securely in other platforms (e.g. Linux), it is possible that client certificate validation may not be in effect, potentially allowing client to establish a TLS connection with the server that supplies any certificate.<br /> <br /> This issue affect all MongoDB Server v6.3 versions, MongoDB Server v5.0 versions v5.0.0 to v5.0.14 and all MongoDB Server v4.4 versions.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

CVE-2023-32509
Fecha de publicación:
23/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Unauth. Reflected Cross-Site Scripting (XSS) vulnerability in Rolf van Gelder Order Your Posts Manually plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2023

CVE-2023-32505
Fecha de publicación:
23/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Arshid Easy Hide Login plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2023

CVE-2023-32300
Fecha de publicación:
23/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Unauth. Reflected Cross-Site Scripting (XSS) vulnerability in Yoast Yoast SEO: Local plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2023

CVE-2023-41122
Fecha de publicación:
23/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate is unused by its CNA. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades