Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en CurrencyRate.Today Crypto Converter Widget (CVE-2023-49150)
Fecha de publicación:
14/12/2023
Idioma:
Español
Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en CurrencyRate.Today Crypto Converter Widget permite almacenar XSS. Este problema afecta a Crypto Converter Widget: desde n/a hasta 1.8.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Crocoblock JetBlocks For Elementor (CVE-2023-48756)
Fecha de publicación:
14/12/2023
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-Site Scripting') en Crocoblock JetBlocks For Elementor permite Reflected XSS. Este problema afecta a JetBlocks For Elementor: desde n/a hasta 1.3.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2026

Vulnerabilidad en Raghu Goriya MyTube PlayList (CVE-2023-48767)
Fecha de publicación:
14/12/2023
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Raghu Goriya MyTube PlayList permite Reflected XSS. Este problema afecta a MyTube PlayList: desde n/a hasta 2.0.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2026

Vulnerabilidad en Nima Saberi Aparat (CVE-2023-48770)
Fecha de publicación:
14/12/2023
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Nima Saberi Aparat permite almacenar XSS. Este problema afecta a Aparat: desde n/a hasta 1.7.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Bruno "Aesqe" Babic File Gallery (CVE-2023-48771)
Fecha de publicación:
14/12/2023
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Bruno "Aesqe" Babic File Gallery permite Reflected XSS. Este problema afecta a File Gallery: desde n/a hasta 1.8.5.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2026

Vulnerabilidad en EnigmaWeb WP Catalog (CVE-2023-48780)
Fecha de publicación:
14/12/2023
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en EnigmaWeb WP Catalog permite almacenar XSS. Este problema afecta a WP Catalogue: desde n/a hasta 1.7.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Moonlight (CVE-2023-42799)
Fecha de publicación:
14/12/2023
Idioma:
Español
Moonlight-common-c contiene el código principal del cliente GameStream compartido entre los clientes Moonlight. Moonlight-common-c es vulnerable al desbordamiento del búfer a partir de el commit 50c0a51b10ecc5b3415ea78c21d96d679e2288f9 debido al uso absoluto de funciones C inseguras y a una verificación de los límites inadecuada. Un servidor de transmisión de juegos malicioso podría aprovechar una vulnerabilidad de desbordamiento del búfer para bloquear un cliente de luz nocturna o lograr la ejecución remota de código (RCE) en el cliente (con mitigaciones de explotación insuficientes o si se pueden evitar las mitigaciones). El error se solucionó en el commit 02b7742f4d19631024bd766bd2bb76715780004e.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/12/2023

Vulnerabilidad en Moonlight (CVE-2023-42800)
Fecha de publicación:
14/12/2023
Idioma:
Español
Moonlight-common-c contiene el código principal del cliente GameStream compartido entre los clientes Moonlight. Moonlight-common-c es vulnerable al desbordamiento del búfer a partir de el commit 50c0a51b10ecc5b3415ea78c21d96d679e2288f9 debido al uso absoluto de funciones C inseguras y a una verificación de límites inadecuada. Un servidor de transmisión de juegos malicioso podría aprovechar una vulnerabilidad de desbordamiento del búfer para bloquear un cliente de luz nocturna o lograr la ejecución remota de código (RCE) en el cliente (con mitigaciones de explotación insuficientes o si se pueden evitar las mitigaciones). El error se solucionó en el commit 24750d4b748fefa03d09fcfd6d45056faca354e0.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2023

Vulnerabilidad en Moonlight (CVE-2023-42801)
Fecha de publicación:
14/12/2023
Idioma:
Español
Moonlight-common-c contiene el código principal del cliente GameStream compartido entre los clientes Moonlight. Moonlight-common-c es vulnerable al desbordamiento del búfer a partir de el commit f57bd745b4cbed577ea654fad4701bea4d38b44c. Un servidor de transmisión de juegos malicioso podría aprovechar una vulnerabilidad de desbordamiento del búfer para bloquear un cliente Moonlight. Lograr RCE es posible, pero poco probable, debido a los canarios de pila que utilizan las cadenas de herramientas de compilación modernas. Los binarios publicados para los clientes oficiales Qt, Android, iOS/tvOS y Embedded están creados con canarios de pila, pero es posible que algunos clientes no oficiales no utilicen canarios de pila. Esta vulnerabilidad se produce después del proceso de emparejamiento, por lo que requiere que se engañe al cliente para que se empareje con un host malicioso. No es posible realizar utilizando un intermediario debido a la fijación de clave pública que tiene lugar durante el proceso de emparejamiento. El error se solucionó en el commit b2497a3918a6d79808d9fd0c04734786e70d5954.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/12/2023

Vulnerabilidad en Dokmee ECM 7.4.6 (CVE-2023-47261)
Fecha de publicación:
14/12/2023
Idioma:
Español
Dokmee ECM 7.4.6 permite la ejecución remota de código porque la respuesta a una solicitud GettingStarted/SaveSQLConnectionAsync /#/gettingstarted contiene una cadena de conexión para acceso privilegiado a la base de datos de SQL Server y se puede habilitar xp_cmdshell.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/12/2023

Vulnerabilidad en Dell vApp Manager (CVE-2023-48671)
Fecha de publicación:
14/12/2023
Idioma:
Español
Dell vApp Manager, las versiones anteriores a la 9.2.4.x contienen una vulnerabilidad de divulgación de información. Un atacante remoto podría explotar esta vulnerabilidad y obtener información confidencial que podría ayudar en futuros ataques.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/12/2023

Vulnerabilidad en WhatsUp Gold (CVE-2023-6368)
Fecha de publicación:
14/12/2023
Idioma:
Español
En las versiones de WhatsUp Gold lanzadas antes de 2023.1, se descubrió que a un endpoint de API le faltaba un mecanismo de autenticación. Es posible que un atacante no autenticado enumere información relacionada con un dispositivo registrado que está siendo monitorizado por WhatsUp Gold.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2024
Suscribirse a Vulnerabilidades