Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-28365

Fecha de publicación:

01/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** A backup file vulnerability found in UniFi applications (Version 7.3.83 and earlier) running on Linux operating systems allows application administrators to execute malicious commands on the host device being restored.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

12/12/2024

CVE-2023-30586

Fecha de publicación:

01/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** A privilege escalation vulnerability exists in Node.js 20 that allowed loading arbitrary OpenSSL engines when the experimental permission model is enabled, which can bypass and/or disable the permission model. The attack complexity is high. However, the crypto.setEngine() API can be used to bypass the permission model when called with a compatible OpenSSL engine. The OpenSSL engine can, for example, disable the permission model in the host process by manipulating the process&#39;s stack memory to locate the permission model Permission::enabled_ in the host process&#39;s heap memory. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.

Gravedad CVSS v3.1: ALTA

Última modificación:

08/05/2025

CVE-2023-30589

Fecha de publicación:

01/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** The llhttp parser in the http module in Node v20.2.0 does not strictly use the CRLF sequence to delimit HTTP requests. This can lead to HTTP Request Smuggling (HRS). The CR character (without LF) is sufficient to delimit HTTP header fields in the llhttp parser. According to RFC7230 section 3, only the CRLF sequence should delimit each header-field. This impacts all Node.js active versions: v16, v18, and, v20

Gravedad CVSS v3.1: ALTA

Última modificación:

04/11/2025

CVE-2021-34506

Fecha de publicación:

01/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability

Gravedad CVSS v3.1: MEDIA

Última modificación:

18/08/2023

CVE-2023-22814

Fecha de publicación:

01/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** An authentication bypass issue via spoofing was discovered in the token-based authentication mechanism that could allow an attacker to carry out an impersonation attack. This issue affects My Cloud OS 5 devices: before 5.26.202.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

10/07/2023

Vulnerabilidad en Microsoft Edge (CVE-2021-31982)

Fecha de publicación:

01/07/2023

Idioma:

Español

Microsoft Edge (basado en Chromium) contiene una vulnerabilidad en la función de seguridad que podría permitir su omisión

Gravedad CVSS v3.1: ALTA

Última modificación:

28/02/2025

CVE-2021-42307

Fecha de publicación:

01/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** Microsoft Edge (Chromium-based) Information Disclosure Vulnerability

Gravedad CVSS v3.1: MEDIA

Última modificación:

01/08/2023

CVE-2021-34475

Fecha de publicación:

01/07/2023

Idioma:

Inglés

*** Pendiente de traducción *** Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability

Gravedad CVSS v3.1: MEDIA

Última modificación:

02/08/2023

CVE-2023-36812

Fecha de publicación:

30/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** OpenTSDB is a open source, distributed, scalable Time Series Database (TSDB). OpenTSDB is vulnerable to Remote Code Execution vulnerability by writing user-controlled input to Gnuplot configuration file and running Gnuplot with the generated configuration. This issue has been patched in commit `07c4641471c` and further refined in commit `fa88d3e4b`. These patches are available in the `2.4.2` release. Users are advised to upgrade. User unable to upgrade may disable Gunuplot via the config option`tsd.core.enable_ui = true` and remove the shell files `mygnuplot.bat` and `mygnuplot.sh`.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

08/09/2023

CVE-2023-36144

Fecha de publicación:

30/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** An authentication bypass in Intelbras Switch SG 2404 MR in firmware 1.00.54 allows an unauthenticated attacker to download the backup file of the device, exposing critical information about the device configuration.

Gravedad CVSS v3.1: ALTA

Última modificación:

10/07/2023

CVE-2023-3338

Fecha de publicación:

30/06/2023

Idioma:

Inglés

*** Pendiente de traducción *** A null pointer dereference flaw was found in the Linux kernel&#39;s DECnet networking protocol. This issue could allow a remote user to crash the system.

Gravedad CVSS v3.1: MEDIA

Última modificación:

07/11/2023