Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Network Configuration Manager de ManageEngine (CVE-2023-29505)
Fecha de publicación:
04/08/2023
Idioma:
Español
Se ha descubierto un problema en Network Configuration Manager 12.6.165 de ManageEngine de Zoho. El WebSocket endpoint permite Cross-site WebSocket hijacking.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en QEMU (CVE-2023-4135)
Fecha de publicación:
04/08/2023
Idioma:
Español
Se encontró una falla de lectura de memoria fuera de los límites en el dispositivo nvme virtual en QEMU. El proceso QEMU no valida un desplazamiento proporcionado por el invitado antes de calcular un puntero de la memoria del host, que se utiliza para copiar datos al invitado. Se puede revelar memoria arbitraria en relación con un búfer asignado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/12/2023

Vulnerabilidad en VMware Horizon Server (CVE-2023-34038)
Fecha de publicación:
04/08/2023
Idioma:
Español
VMware Horizon Server contiene una vulnerabilidad de divulgación de información. Un actor malicioso con acceso a la red puede ser capaz de acceder a información relativa a la configuración de la red interna.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2023

Vulnerabilidad en VMware Horizon Server (CVE-2023-34037)
Fecha de publicación:
04/08/2023
Idioma:
Español
VMware Horizon Server contiene una vulnerabilidad de contrabando de solicitudes HTTP. Un actor malicioso con acceso a la red puede ser capaz de realizar peticiones HTTP de contrabando.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2023

Vulnerabilidad en Fujitsu Software Infrastructure Manager (ISM) (CVE-2023-39379)
Fecha de publicación:
04/08/2023
Idioma:
Español
Fujitsu Software Infrastructure Manager (ISM) almacena información sensible en los datos de mantenimiento del producto (ismsnap) en forma de texto claro. Como resultado, la contraseña para el servidor proxy que está configurado en ISM puede ser recuperada. Los productos y versiones afectados son los siguientes: Fujitsu Software Infrastructure Manager Advanced Edition V2.8.0.060, Fujitsu Software Infrastructure Manager Advanced Edition for PRIMEFLEX V2.8.0.060 y Fujitsu Software Infrastructure Manager Essential Edition V2.8.0.060.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/08/2023

Vulnerabilidad en Plugin WP Ultimate CSV Importer para WordPress (CVE-2023-4142)
Fecha de publicación:
04/08/2023
Idioma:
Español
El plugin WP Ultimate CSV Importer para WordPress es vulnerable a la ejecución remota de código en versiones hasta, e incluyendo, la v7.9.8 a través del parámetro "->cus1". Esto permite a atacantes autenticados con permisos de nivel de autor o superior, si el administrador concede previamente el acceso en la configuración del plugin, ejecutar código en el servidor. El autor resolvió esta vulnerabilidad eliminando la capacidad de los autores y editores para importar archivos, por favor tenga en cuenta que esto significa que la ejecución remota de código sigue siendo posible para los administradores del sitio. Utilice el plugin con precaución.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Plugin WP Ultimate CSV Importer para WordPress (CVE-2023-4141)
Fecha de publicación:
04/08/2023
Idioma:
Español
El plugin WP Ultimate CSV Importer para WordPress es vulnerable a la ejecución remota de código en versiones hasta, e incluyendo, la v7.9.8 a través del parámetro "->cus2". Esto permite a atacantes autenticados con permisos de nivel autor o superior, si el administrador concede previamente el acceso en la configuración del plugin, crear un archivo PHP y ejecutar código en el servidor. El autor resolvió esta vulnerabilidad eliminando la capacidad de los autores y editores para importar archivos, por favor tenga en cuenta que esto significa que la creación de archivos PHP todavía está permitida para los administrador del sitio. Utilice el plugin con precaución.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Plugin WP Ultimate CSV Importer para WordPress (CVE-2023-4140)
Fecha de publicación:
04/08/2023
Idioma:
Español
El plugin Plugin WP Ultimate CSV Importer para WordPress es vulnerable a la escalada de privilegios en versiones hasta, e incluyendo, la v7.9.8 debido a una restricción insuficiente en la función "get_header_values". Esto hace posible que atacantes autenticados, con permisos mínimos como un autor, si el administrador previamente concede acceso en la configuración del plugin, modifiquen su rol de usuario suministrando el parámetro "wp_capabilities->cus1".
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Plugin WP Ultimate CSV Importer para WordPress (CVE-2023-4139)
Fecha de publicación:
04/08/2023
Idioma:
Español
El plugin Plugin WP Ultimate CSV Importer para WordPress es vulnerable a la exposición de información sensible a través de listados de directorios debido a la falta de restricción en la indexación de carpetas de exportación en versiones hasta, e incluyendo, v7.9.8. Esto hace posible que atacantes no autenticados puedan listar y ver los archivos exportados.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

CVE-2023-4002
Fecha de publicación:
04/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue has been discovered in GitLab EE affecting all versions starting from 14.1 before 16.0.8, all versions starting from 16.1 before 16.1.3, all versions starting from 16.2 before 16.2.2. It was possible for EE-licensed users to link any security policy project by its ID to projects or groups the user has access to, potentially revealing the security projects's configured security policies.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2024

CVE-2023-39343
Fecha de publicación:
04/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Sulu is an open-source PHP content management system based on the Symfony framework. It allows over the Admin Login form to detect which user (username, email) exists and which one do not exist. Sulu Installation not using the old Symfony 5.4 security System and previous version are not impacted by this Security issue. The vulnerability has been patched in version 2.5.10. <br /> <br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

CVE-2023-38708
Fecha de publicación:
04/08/2023
Idioma:
Inglés
*** Pendiente de traducción *** Pimcore is an Open Source Data &amp; Experience Management Platform: PIM, MDM, CDP, DAM, DXP/CMS &amp; Digital Commerce. A path traversal vulnerability exists in the `AssetController::importServerFilesAction`, which allows an attacker to overwrite or modify sensitive files by manipulating the pimcore_log parameter.This can lead to potential denial of service---key file overwrite.<br /> The impact of this vulnerability allows attackers to: overwrite or modify sensitive files, potentially leading to unauthorized access, privilege escalation, or disclosure of confidential information. This could also cause a denial of service (DoS) if critical system files are overwritten or deleted.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/08/2023
Suscribirse a Vulnerabilidades