Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2022-24632
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in AudioCodes Device Manager Express through 7.8.20002.47752. It is directory traversal during file download via the BrowseFiles.php view parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2023

CVE-2022-41766
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in MediaWiki before 1.35.8, 1.36.x and 1.37.x before 1.37.5, and 1.38.x before 1.38.3. Upon an action=rollback operation, the alreadyrolled message can leak a user name (when the user has been revision deleted/suppressed).
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/06/2023

Vulnerabilidad en Dolibarr (CVE-2023-30253)
Fecha de publicación:
29/05/2023
Idioma:
Español
En la versiones anteriores a Dolibarr v17.0.1 se permite la ejecución remota de código por un usuario autenticado a través de una manipulación de mayúsculas, por ejemplo: "
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2025

Vulnerabilidad en Tuleap (CVE-2023-32072)
Fecha de publicación:
29/05/2023
Idioma:
Español
Tuleap es una herramienta de código abierto para la trazabilidad de extremo a extremo de los desarrollos de aplicaciones y sistemas. En Tuleap Community Edition anterior a la versión 14.8.99.60 y en Tuleap Enterprise Edition anterior a las versiones 14.8-3 y 14.7-7 los registros de las URLs de los trabajos Jenkins desencadenados no se escapan correctamente. Un administrador Git malicioso puede configurar un "hook" de Jenkins malicioso para hacer que una víctima, también administrador Git, ejecute código no controlado. Tuleap Community Edition v14.8.99.60, Tuleap Enterprise Edition v14.8-3 y Tuleap Enterprise Edition v14.7-7 contienen un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/06/2023

Vulnerabilidad en Libarchive (CVE-2023-30571)
Fecha de publicación:
29/05/2023
Idioma:
Español
Libarchive hasta la versión 3.6.2 puede hacer que los directorios tengan permisos de escritura global. La llamada "umask()" dentro del archivo "archive_write_disk_posix.c" cambia la máscara de usuario de todo el proceso durante un periodo de tiempo muy corto; una condición de carrera con otro hilo puede llevar a un ajuste permanente de la máscara de usuario a 0. Tal condición de carrera podría llevar a la creación implícita de directorios con permisos 0777, sin el bit adhesivo ("sticky bit"), lo que significa que cualquier usuario local con pocos privilegios puede borrar y renombrar archivos dentro de esos directorios.
Gravedad CVSS v3.1: BAJA
Última modificación:
14/01/2025

CVE-2022-24580
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2023-24580. Reason: This candidate is a duplicate of CVE-2023-24580. A typo caused the wrong ID to be used. Notes: All CVE users should reference CVE-2023-24580 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2019-19791
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** In LemonLDAP::NG (aka lemonldap-ng) before 2.0.7, the default Apache HTTP Server configuration does not properly restrict access to SOAP/REST endpoints (when some LemonLDAP::NG setup options are used). For example, an attacker can insert index.fcgi/index.fcgi into a URL to bypass a Require directive.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/01/2025

CVE-2020-29547
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Citadel through webcit-926. Meddler-in-the-middle attackers can pipeline commands after POP3 STLS, IMAP STARTTLS, or SMTP STARTTLS commands, injecting cleartext commands into an encrypted user session. This can lead to credential disclosure.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2025

CVE-2021-27825
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** A directory traversal vulnerability on Mercury MAC1200R devices allows attackers to read arbitrary files via a web-static/ URL.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2025

CVE-2021-37845
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Citadel through webcit-932. A meddler-in-the-middle attacker can fixate their own session during the cleartext phase before a STARTTLS command (a violation of "The STARTTLS command is only valid in non-authenticated state." in RFC2595). This potentially allows an attacker to cause a victim's e-mail messages to be stored into an attacker's IMAP mailbox, but depends on details of the victim's client behavior.
Gravedad CVSS v3.1: BAJA
Última modificación:
14/01/2025

CVE-2022-32725
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2022. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2022-32726
Fecha de publicación:
29/05/2023
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2022. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades