Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-2835
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The WP Directory Kit plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'search' parameter in versions up to, and including, 1.2.3 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2023-1159
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Bookly plugin for WordPress is vulnerable to Stored Cross-Site Scripting via service titles in versions up to, and including, 21.5 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers with administrative privileges to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2023-2063
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Unrestricted Upload of File with Dangerous Type vulnerability in FTP function on Mitsubishi Electric Corporation MELSEC iQ-R Series EtherNet/IP module RJ71EIP91 and MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP allows a remote unauthenticated attacker to cause information disclosure, tampering, deletion or destruction via file upload/download. As a result, the attacker may be able to exploit this for further attacks.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2023

CVE-2023-2061
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Use of Hard-coded Password vulnerability in FTP function on Mitsubishi Electric Corporation MELSEC iQ-R Series EtherNet/IP module RJ71EIP91 and MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP allows a remote unauthenticated attacker to obtain a hard-coded password and access to the module via FTP.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2023

CVE-2023-2062
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Missing Password Field Masking vulnerability in Mitsubishi Electric Corporation EtherNet/IP configuration tools SW1DNN-EIPCT-BD and SW1DNN-EIPCTFX5-BD allows a remote unauthenticated attacker to know the password for MELSEC iQ-R Series EtherNet/IP module RJ71EIP91 and MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP. This vulnerability results in authentication bypass vulnerability, which allows the attacker to access MELSEC iQ-R Series EtherNet/IP module RJ71EIP91 and MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP via FTP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/10/2024

CVE-2023-2060
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Weak Password Requirements vulnerability in FTP function on Mitsubishi Electric Corporation MELSEC iQ-R Series EtherNet/IP module RJ71EIP91 and MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP allows a remote unauthenticated attacker to access to the module via FTP by dictionary attack or password sniffing.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2023

Vulnerabilidad en BT21 x BTS Wallpaper (CVE-2023-29725)
Fecha de publicación:
02/06/2023
Idioma:
Español
La aplicación BT21 x BTS Wallpaper v12 para Android permite que aplicaciones no autorizadas soliciten activamente permisos para insertar datos en la base de datos que registra información sobre las preferencias personales de un usuario y que se cargará en la memoria para ser leída y utilizada cuando se abra la aplicación. Al inyectar datos, el atacante puede forzar a la aplicación a cargar URLs de imágenes maliciosas y mostrarlas en la interfaz de usuario. A medida que aumente la cantidad de datos, acabará provocando que la aplicación desencadene un error "OOM" y se bloquee, dando lugar a un ataque persistente de denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2025

Vulnerabilidad en The Thaiger (CVE-2023-29746)
Fecha de publicación:
02/06/2023
Idioma:
Español
Un problema detectado en The Thaiger v1.2 para Android permite que aplicaciones no autorizadas provoquen un ataque de ejecución de código manipulando los archivos "SharedPreference".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/01/2025

CVE-2023-27744
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in South River Technologies TitanFTP NextGen server that allows for a vertical privilege escalation leading to remote code execution.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

CVE-2023-27745
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue in South River Technologies TitanFTP Before v2.0.1.2102 allows attackers with low-level privileges to perform Administrative actions by sending requests to the user server.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

CVE-2023-29724
Fecha de publicación:
02/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** The BT21 x BTS Wallpaper app 12 for Android allows unauthorized apps to actively request permission to modify data in the database that records information about a user&amp;#39;s personal preferences and will be loaded into memory to be read and used when the app is opened. An attacker could tamper with this data to cause an escalation of privilege attack.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2025

Vulnerabilidad en Web Directory Free para WordPress (CVE-2023-2201)
Fecha de publicación:
02/06/2023
Idioma:
Español
Web Directory Free para WordPress es vulnerable a la inyección SQL a través del parámetro "post_id" en las versiones hasta la 1.6.7 inclusive, debido a un escape insuficiente del parámetro suministrado por el usuario y a la falta de preparación suficiente de la consulta SQL existente. Esto hace posible que atacantes autenticados con privilegios de nivel de colaborador añadan consultas SQL adicionales a consultas ya existentes que pueden utilizarse para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades