Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en CubeFS (CVE-2023-46739)
Fecha de publicación:
03/01/2024
Idioma:
Español
CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Se encontró una vulnerabilidad en el componente maestro de CubeFS en versiones anteriores a la 3.3.1 que podría permitir a un atacante no confiable robar contraseñas de usuario mediante la realización de un ataque de sincronización. El caso raíz de la vulnerabilidad fue que CubeFS utilizó una comparación de contraseñas sin formato. La parte vulnerable de CubeFS era el UserService del componente maestro. Se crea una instancia de UserService al iniciar el servidor del componente maestro. El problema se solucionó en la versión 3.3.1. Para los usuarios afectados, no hay otra forma de mitigar el problema además de actualizar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2024

Vulnerabilidad en CubeFS (CVE-2023-46740)
Fecha de publicación:
03/01/2024
Idioma:
Español
CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Antes de la versión 3.3.1, CubeFS usaba un generador de cadenas aleatorias inseguras para generar claves confidenciales específicas del usuario utilizadas para autenticar a los usuarios en una implementación de CubeFS. Esto podría permitir a un atacante predecir y/o adivinar la cadena generada y hacerse pasar por un usuario, obteniendo así mayores privilegios. Cuando CubeFS crea nuevos usuarios, crea una información confidencial para el usuario llamada "clave de acceso". Para crear la "clave de acceso", CubeFS utiliza un generador de cadenas inseguro que hace que sea fácil de adivinar y, por lo tanto, suplantar al usuario creado. Un atacante podría aprovechar el predecible generador de cadenas aleatorias y adivinar la clave de acceso de un usuario y hacerse pasar por el usuario para obtener mayores privilegios. El problema se solucionó en v3.3.1. No hay otra mitigación que actualizar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2024

Vulnerabilidad en CubeFS (CVE-2023-46741)
Fecha de publicación:
03/01/2024
Idioma:
Español
CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Se encontró una vulnerabilidad en CubeFS anterior a la versión 3.3.1 que podría permitir a los usuarios leer datos confidenciales de los registros, lo que podría permitirles escalar privilegios. CubeFS filtra claves de configuración en formato de texto plano en los registros. Estas claves podrían permitir que cualquiera realice operaciones en blobs para las que de otro modo no tendría permisos. Por ejemplo, un atacante que haya recuperado con éxito una clave secreta de los registros puede eliminar blogs del almacén de blobs. El atacante puede ser un usuario interno con privilegios limitados para leer el registro o puede ser un usuario externo con privilegios aumentados lo suficiente para acceder a los registros. La vulnerabilidad ha sido parcheada en v3.3.1. No hay otra mitigación que la actualización.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2024

Vulnerabilidad en PeterO.Cbor (CVE-2024-21909)
Fecha de publicación:
03/01/2024
Idioma:
Español
Las versiones de PeterO.Cbor 4.0.0 a 4.5.0 son vulnerables a una vulnerabilidad de denegación de servicio. Un atacante puede desencadenar la condición de denegación de servicio proporcionando datos manipulados a DecodeFromBytes u otros mecanismos de decodificación en PeterO.Cbor. Dependiendo del uso de la biblioteca, un atacante remoto y no autenticado puede provocar la condición de denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/11/2025

Vulnerabilidad en TinyMCE (CVE-2024-21910)
Fecha de publicación:
03/01/2024
Idioma:
Español
Las versiones de TinyMCE anteriores a la 5.10.0 se ven afectadas por una vulnerabilidad de cross site scripting. Un atacante remoto y no autenticado podría introducir imágenes manipuladas o URL de enlaces que darían como resultado la ejecución de JavaScript arbitrario en el navegador de un usuario que esté editando.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/11/2025

Vulnerabilidad en TinyMCE (CVE-2024-21911)
Fecha de publicación:
03/01/2024
Idioma:
Español
Las versiones de TinyMCE anteriores a la 5.6.0 se ven afectadas por una vulnerabilidad de cross site scripting almacenado. Un atacante remoto y no autenticado podría insertar HTML manipulado en el editor, lo que provocaría la ejecución arbitraria de JavaScript en el navegador de otro usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2025

Vulnerabilidad en Kruise (CVE-2023-30617)
Fecha de publicación:
03/01/2024
Idioma:
Español
Kruise proporciona gestión automatizada de aplicaciones a gran escala en Kubernetes. A partir de la versión 0.8.0 y antes de las versiones 1.3.1, 1.4.1 y 1.5.2, un atacante que haya obtenido privilegios de root en el nodo que ejecuta kruise-daemon puede aprovechar el pod kruise-daemon para enumerar todos los secretos en todo el clúster. Después de eso, el atacante puede aprovechar los secretos "capturados" (por ejemplo, el token de la cuenta de servicio kruise-manager) para obtener privilegios adicionales, como la modificación del pod. Las versiones 1.3.1, 1.4.1 y 1.5.2 solucionan este problema. Hay un workaround disponible. Para los usuarios que no requieren funciones de imagepulljob, pueden modificar kruise-daemon-role para eliminar el privilegio de obtención/lista de secretos a nivel de clúster.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2024

Vulnerabilidad en CubeFS (CVE-2023-46738)
Fecha de publicación:
03/01/2024
Idioma:
Español
CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Se encontró una vulnerabilidad de seguridad en CubeFS HandlerNode en versiones anteriores a la 3.3.1 que podría permitir a los usuarios autenticados enviar solicitudes manipuladas con fines malintencionados que bloquearían el ObjectNode y negarían a otros usuarios su uso. La causa principal fue el manejo inadecuado de las solicitudes HTTP entrantes que podrían permitir a un atacante controlar la cantidad de memoria que asignaría el ObjectNode. Una solicitud maliciosa podría hacer que el ObjectNode asigne más memoria de la que la máquina tenía disponible, y el atacante podría agotar la memoria mediante una única solicitud maliciosa. Un atacante necesitaría estar autenticado para poder invocar el código vulnerable con su solicitud maliciosa y tener permisos para eliminar objetos. Además, el atacante necesitaría conocer los nombres de los depósitos existentes de la implementación de CubeFS; de lo contrario, la solicitud sería rechazada antes de llegar al código vulnerable. Como tal, el atacante más probable es un usuario interno o un atacante que ha violado la cuenta de un usuario existente en el clúster. El problema se solucionó en la versión 3.3.1. No existe otra mitigación además de la actualización.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2024

Vulnerabilidad en Newtonsoft.Json (CVE-2024-21907)
Fecha de publicación:
03/01/2024
Idioma:
Español
Newtonsoft.Json anterior a la versión 13.0.1 se ve afectado por una vulnerabilidad de manejo incorrecto de condiciones excepcionales. Los datos elaborados que se pasan al método JsonConvert.DeserializeObject pueden desencadenar una excepción de StackOverflow que provoque una denegación de servicio. Dependiendo del uso de la librería, un atacante remoto y no autenticado puede provocar la condición de denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/11/2025

Vulnerabilidad en TinyMCE (CVE-2024-21908)
Fecha de publicación:
03/01/2024
Idioma:
Español
Las versiones de TinyMCE anteriores a la 5.9.0 se ven afectadas por una vulnerabilidad de cross site scripting almacenado. Un atacante remoto y no autenticado podría insertar HTML manipulado en el editor, lo que provocaría la ejecución arbitraria de JavaScript en el navegador de otro usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/11/2025

Vulnerabilidad en Tamaki_hamanoki Line v.13.6.1 (CVE-2023-45559)
Fecha de publicación:
03/01/2024
Idioma:
Español
Un problema en Tamaki_hamanoki Line v.13.6.1 permite a los atacantes enviar notificaciones manipuladas mediante la fuga del token de acceso al canal.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025

Vulnerabilidad en SOC FL9600 FastLine lego_T04E00 (CVE-2023-37607)
Fecha de publicación:
03/01/2024
Idioma:
Español
Directory Traversal en sistemas automáticos SOC FL9600 FastLine lego_T04E00 permite a un atacante remoto obtener información confidencial.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025
Suscribirse a Vulnerabilidades