Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2022-4115
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Editorial Calendar WordPress plugin before 3.8.3 does not sanitise and escape its settings, allowing users with roles as low as contributor to inject arbitrary web scripts in the plugin admin panel, enabling a Stored Cross-Site Scripting vulnerability targeting higher privileged users.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2021-30203
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** A reflected cross-site scripting (XSS) vulnerability in the zero parameter of dzzoffice 2.02.1_SC_UTF8 allows attackers to execute arbitrary web scripts or HTML.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/07/2023

CVE-2021-30205
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect access control in the component /index.php?mod=system&op=orgtree of dzzoffice 2.02.1_SC_UTF8 allows unauthenticated attackers to browse departments and usernames.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/12/2024

CVE-2023-34395
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Argument Delimiters in a Command (&amp;#39;Argument Injection&amp;#39;) vulnerability in Apache Software Foundation Apache Airflow ODBC Provider.<br /> In OdbcHook, A privilege escalation vulnerability exists in a system due to controllable ODBC driver parameters that allow the loading of arbitrary dynamic-link libraries, resulting in command execution.<br /> Starting version 4.0.0 driver can be set only from the hook constructor.<br /> This issue affects Apache Airflow ODBC Provider: before 4.0.0.<br /> <br />
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2024

CVE-2023-35798
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Input Validation vulnerability in Apache Software Foundation Apache Airflow ODBC Provider, Apache Software Foundation Apache Airflow MSSQL Provider.This vulnerability is considered low since it requires DAG code to use `get_sqlalchemy_connection` and someone with access to connection resources specifically updating the connection to exploit it.<br /> <br /> This issue affects Apache Airflow ODBC Provider: before 4.0.0; Apache Airflow MSSQL Provider: before 3.4.1.<br /> <br /> It is recommended to upgrade to a version that is not affected<br /> <br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2023

CVE-2023-3423
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Weak Password Requirements in GitHub repository cloudexplorer-dev/cloudexplorer-lite prior to v 1.2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2023

CVE-2023-3412
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Image Map Pro – Drag-and-drop Builder for Interactive Images – Lite plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to, and including, 1.0.0. This is due to a missing capability check on the ajax_store_save() function. This makes it possible for authenticated attackers, with minimal permissions such as a subscriber, to modify plugin settings and inject malicious web scripts.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2025

CVE-2023-3411
Fecha de publicación:
27/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Image Map Pro – Drag-and-drop Builder for Interactive Images – Lite plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 1.0.0. This is due to missing nonce validation on the ajax_store_save() function. This makes it possible for unauthenticated attackers to modify plugin settings and inject malicious web scripts via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2025

Vulnerabilidad en Plugin MainWP Child para WordPress (CVE-2023-3132)
Fecha de publicación:
27/06/2023
Idioma:
Español
El plugin MainWP Child para WordPress es vulnerable a la exposición de información sensible hasta la versión 4.4.1.1 inclusive, debido a controles insuficientes en el almacenamiento de archivos de copia de seguridad. Esto hace posible que atacantes no autenticados extraigan información sensible, incluyendo la base de datos completa de las instalaciones, si se produce una copia de seguridad y falla la eliminación de los archivos de copia de seguridad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Plugin User Registration para WordPress (CVE-2023-3371)
Fecha de publicación:
27/06/2023
Idioma:
Español
El plugin User Registration para WordPress es vulnerable a la exposición de información confidencial debido a la clave de cifrado embebida en las funciones "lock_content_form_handler" y "display_password_form" en versiones hasta la 3.7.3 inclusive. Esto hace posible que atacantes no autenticados descifren y vean el contenido protegido por contraseña.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Contour Service (CVE-2023-22834)
Fecha de publicación:
27/06/2023
Idioma:
Español
Contour Service no comprobaba que los usuarios tuvieran permiso para crear un análisis para un conjunto de datos determinado. Esto podría permitir a un atacante saturar las carpetas de Compass con análisis extraños que, de otro modo, no tendría permiso para crear.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2023-30945
Fecha de publicación:
26/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Multiple Services such as VHS(Video History Server) and VCD(Video Clip Distributor) and Clips2 were discovered to be vulnerable to an unauthenticated arbitrary file read/write vulnerability due to missing input validation on filenames. A malicious attacker could read sensitive files from the filesystem or write/delete arbitrary files on the filesystem as well.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades