Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ADManager Plus de ManageEngine (CVE-2023-38332)
Fecha de publicación:
04/08/2023
Idioma:
Español
ADManager Plus de ManageEngine de Zoho a través de 7201 permiten a los usuarios autenticados hacerse cargo de la cuenta de otro usuario a través de la divulgación de información sensible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33379)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene un error de configuración en su broker MQTT utilizado para la gestión y comunicación de dispositivos, que permite a los dispositivos conectarse al broker y emitir comandos a otro dispositivo, haciéndose pasar por la plataforma de gestión de Connected IO y enviando comandos a todos los dispositivos de Connected IO.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33377)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene una vulnerabilidad de inyección de comandos del sistema operativo en el comando set firewall en una parte de su protocolo de comunicación, lo que permite a los atacantes ejecutar comandos arbitrarios del sistema operativo en los dispositivos.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33378)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene una vulnerabilidad de inyección de argumentos en su mensaje de comando AT en su protocolo de comunicación, lo que permite a los atacantes ejecutar comandos arbitrarios del sistema operativo en los dispositivos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33376)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene una vulnerabilidad de inyección de argumentos en su mensaje de comando iptables en su protocolo de comunicación, lo que permite a los atacantes ejecutar comandos arbitrarios del sistema operativo en los dispositivos.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33375)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tienen una vulnerabilidad de desbordamiento de búfer basada en pila en su protocolo de comunicación, lo que permite a los atacantes tomar el control de los dispositivos.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33373)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores guardan las contraseñas y credenciales en formato de texto claro, lo que permite a los atacantes extraer las credenciales y utilizarlas para suplantar los dispositivos.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33374)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene un comando como parte de su protocolo de comunicación que permite a la plataforma de gestión especificar comandos de SO arbitrarios para que los dispositivos los ejecuten. Los atacantes que abusen de esta peligrosa funcionalidad pueden enviar a todos los dispositivos comandos del sistema operativo para su ejecución, lo que resulta en la ejecución remota de comandos arbitrarios.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33372)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores utilizan un par de nombre de usuario/contraseña incrustado en el firmware del dispositivo para la comunicación entre dispositivos mediante MQTT. Un atacante que obtenga acceso a estas credenciales es capaz de conectarse al broker MQTT y enviar mensajes en nombre de los dispositivos, haciéndose pasar por ellos. para firmar y verificar los tokens de sesión JWT, permitiendo a los atacantes firmar tokens de sesión arbitrarios y saltarse la autenticación.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en OpenID Connect de Keycloak (CVE-2023-0264)
Fecha de publicación:
04/08/2023
Idioma:
Español
Se ha encontrado un fallo en la autenticación de usuarios en OpenID Connect de Keycloak, que podría autenticar incorrectamente las solicitudes. Un atacante autenticado que pudiera obtener información de una solicitud de usuario dentro del mismo entorno, podría utilizar esos datos para hacerse pasar por la víctima y generar nuevos tokens de sesión. Este problema podría afectar a la confidencialidad, integridad y disponibilidad.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/08/2023

Vulnerabilidad en ECShop (CVE-2023-39112)
Fecha de publicación:
04/08/2023
Idioma:
Español
ECShop v4.1.16 contiene una vulnerabilidad de eliminación arbitraria de archivos en el Panel de Administración.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023

Vulnerabilidad en PaperCut NG y PaperCut MF (CVE-2023-39143)
Fecha de publicación:
04/08/2023
Idioma:
Español
PaperCut NG y PaperCut MF antes de 22.1.3 en Windows permiten atravesar rutas, lo que permite a los atacantes cargar, leer o eliminar archivos arbitrarios. Esto conduce a la ejecución remota de código cuando la integración de dispositivos externos está habilitada (una configuración muy común).<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/05/2025
Suscribirse a Vulnerabilidades