Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-29154
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** SQL injection vulnerability exists in the CONPROSYS HMI System (CHS) versions prior to 3.5.3. A user who can access the affected product with an administrative privilege may execute an arbitrary SQL command via specially crafted input to the query setting page.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

Vulnerabilidad en Starlette (CVE-2023-29159)
Fecha de publicación:
01/06/2023
Idioma:
Español
La vulnerabilidad de salto de directorios en Starlette v0.13.5 y posteriores y anteriores a 0.27.0 permite a un atacante remoto no autenticado ver archivos en un servicio web que fue creado usando Starlette.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

CVE-2023-28824
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Server-side request forgery vulnerability exists in CONPROSYS HMI System (CHS) versions prior to 3.5.3. A user who can access the affected product with an administrative privilege may bypass the database restriction set on the query setting page, and connect to a user unintended database.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

CVE-2023-28713
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Plaintext storage of a password exists in CONPROSYS HMI System (CHS) versions prior to 3.5.3. Because account information of the database is saved in a local file in plaintext, a user who can access the PC where the affected product is installed can obtain the information. As a result, information in the database may be obtained and/or altered by the user.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

CVE-2023-28657
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Improper access control vulnerability exists in CONPROSYS HMI System (CHS) versions prior to 3.5.3. A user of the PC where the affected product is installed may gain an administrative privilege. As a result, information regarding the product may be obtained and/or altered by the user.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

CVE-2023-28651
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Cross-site scripting vulnerability exists in CONPROSYS HMI System (CHS) versions prior to 3.5.3. If a user who can access the affected product with an administrative privilege configures specially crafted settings, an arbitrary script may be executed on the web browser of the other user who is accessing the affected product with an administrative privilege.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

CVE-2023-28399
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect permission assignment for critical resource exists in CONPROSYS HMI System (CHS) versions prior to 3.5.3. ACL (Access Control List) is not appropriately set to the local folder where the affected product is installed, therefore a wide range of privileges is permitted to a user of the PC where the affected product is installed. As a result, the user may be able to destroy the system and/or execute a malicious program.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

Vulnerabilidad en Pleasanter (CVE-2023-30758)
Fecha de publicación:
01/06/2023
Idioma:
Español
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en Pleasanter v1.3.38.1 y anteriores que permite a un atacante remoto autenticado inyectar un script arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

Vulnerabilidad en DataSpider Servista (CVE-2023-28937)
Fecha de publicación:
01/06/2023
Idioma:
Español
DataSpider Servista versión 4.4 y anteriores utilizan una clave criptográfica embebida. DataSpider Servista es un software de integración de datos."ScriptRunner" y "ScriptRunner para Amazon SQS" se utilizan para iniciar los procesos configurados en DataSpider Servista. La clave criptográfica embebida se encuentra en estos dos archivos, que es común a todos los usuarios. Si un atacante que puede tener acceso a una instancia de DataSpider Servista objetivo y obtener un archivo de configuración de inicio de "ScriptRunner" y/o "ScriptRunner para Amazon SQS", podría realizar operaciones con el privilegio de usuario cifrado en el archivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

CVE-2023-3026
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Cross-site Scripting (XSS) - Stored in GitHub repository jgraph/drawio prior to 21.2.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2025

CVE-2023-23954
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Advanced Secure Gateway and Content Analysis, prior to 7.3.13.1 / 3.1.6.0, may be susceptible to a Stored Cross-Site Scripting vulnerability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

CVE-2023-23955
Fecha de publicación:
01/06/2023
Idioma:
Inglés
*** Pendiente de traducción *** Advanced Secure Gateway and Content Analysis, prior to 7.3.13.1 / 3.1.6.0, may be susceptible to a Server-Side Request Forgery vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025
Suscribirse a Vulnerabilidades