Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Connected IO (CVE-2023-33377)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene una vulnerabilidad de inyección de comandos del sistema operativo en el comando set firewall en una parte de su protocolo de comunicación, lo que permite a los atacantes ejecutar comandos arbitrarios del sistema operativo en los dispositivos.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33378)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene una vulnerabilidad de inyección de argumentos en su mensaje de comando AT en su protocolo de comunicación, lo que permite a los atacantes ejecutar comandos arbitrarios del sistema operativo en los dispositivos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33376)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene una vulnerabilidad de inyección de argumentos en su mensaje de comando iptables en su protocolo de comunicación, lo que permite a los atacantes ejecutar comandos arbitrarios del sistema operativo en los dispositivos.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33375)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tienen una vulnerabilidad de desbordamiento de búfer basada en pila en su protocolo de comunicación, lo que permite a los atacantes tomar el control de los dispositivos.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33373)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores guardan las contraseñas y credenciales en formato de texto claro, lo que permite a los atacantes extraer las credenciales y utilizarlas para suplantar los dispositivos.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33374)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores tiene un comando como parte de su protocolo de comunicación que permite a la plataforma de gestión especificar comandos de SO arbitrarios para que los dispositivos los ejecuten. Los atacantes que abusen de esta peligrosa funcionalidad pueden enviar a todos los dispositivos comandos del sistema operativo para su ejecución, lo que resulta en la ejecución remota de comandos arbitrarios.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Connected IO (CVE-2023-33372)
Fecha de publicación:
04/08/2023
Idioma:
Español
Connected IO v2.1.0 y anteriores utilizan un par de nombre de usuario/contraseña incrustado en el firmware del dispositivo para la comunicación entre dispositivos mediante MQTT. Un atacante que obtenga acceso a estas credenciales es capaz de conectarse al broker MQTT y enviar mensajes en nombre de los dispositivos, haciéndose pasar por ellos. para firmar y verificar los tokens de sesión JWT, permitiendo a los atacantes firmar tokens de sesión arbitrarios y saltarse la autenticación.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en OpenID Connect de Keycloak (CVE-2023-0264)
Fecha de publicación:
04/08/2023
Idioma:
Español
Se ha encontrado un fallo en la autenticación de usuarios en OpenID Connect de Keycloak, que podría autenticar incorrectamente las solicitudes. Un atacante autenticado que pudiera obtener información de una solicitud de usuario dentro del mismo entorno, podría utilizar esos datos para hacerse pasar por la víctima y generar nuevos tokens de sesión. Este problema podría afectar a la confidencialidad, integridad y disponibilidad.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/08/2023

Vulnerabilidad en ECShop (CVE-2023-39112)
Fecha de publicación:
04/08/2023
Idioma:
Español
ECShop v4.1.16 contiene una vulnerabilidad de eliminación arbitraria de archivos en el Panel de Administración.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2023

Vulnerabilidad en PaperCut NG y PaperCut MF (CVE-2023-39143)
Fecha de publicación:
04/08/2023
Idioma:
Español
PaperCut NG y PaperCut MF antes de 22.1.3 en Windows permiten atravesar rutas, lo que permite a los atacantes cargar, leer o eliminar archivos arbitrarios. Esto conduce a la ejecución remota de código cuando la integración de dispositivos externos está habilitada (una configuración muy común).<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/05/2025

CVE-2023-38691
Fecha de publicación:
04/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** matrix-appservice-bridge provides an API for setting up bridges. Starting in version 4.0.0 and prior to versions 8.1.2 and 9.0.1, a malicious Matrix server can use a foreign user&amp;#39;s MXID in an OpenID exchange, allowing a bad actor to impersonate users when using the provisioning API. The library does not check that the servername part of the `sub` parameter (containing the user&amp;#39;s *claimed* MXID) is the the same as the servername we are talking to. A malicious actor could spin up a server on any given domain, respond with a `sub` parameter according to the user they want to act as and use the resulting token to perform provisioning requests. Versions 8.1.2 and 9.0.1 contain a patch. As a workaround, disable the provisioning API.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/08/2023

Vulnerabilidad en twitch-tui (CVE-2023-38688)
Fecha de publicación:
04/08/2023
Idioma:
Español
twitch-tui proporciona el chat de Twitch en un terminal. Antes de la versión 2.4.1, la conexión no utiliza TLS para la comunicación. En la configuración de la conexión irc, el software deshabilita TLS, lo que hace que toda la comunicación con los servidores IRC de Twitch no esté cifrada. Como resultado, la comunicación, incluyendo los tokens de autenticación, puede ser interceptada. La versión 2.4.1 tiene un parche para este problema.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
09/08/2023
Suscribirse a Vulnerabilidades