Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ZED por PRIMX ZED! (CVE-2023-50440)
Fecha de publicación:
13/12/2023
Idioma:
Español
Contenedores ZED producidos por PRIMX ZED! para Windows anteriores a Q.2020.3 (presentación de calificación ANSSI); ZED! para Windows anteriores a Q.2021.2 (presentación de calificación ANSSI); ZONECENTRAL para Windows antes de Q.2021.2 (presentación de calificación ANSSI); ZONECENTRAL para Windows antes de 2023.5; ZEDMAIL para Windows antes de 2023.5; ZED! para Windows, Mac, Linux antes de 2023.5; ZEDFREE para Windows, Mac, Linux antes de 2023.5; o ZEDPRO para Windows, Mac, Linux anterior a 2023.5 puede ser modificado por un atacante no autenticado para incluir una referencia UNC de modo que pueda activar el acceso a la red a una maquina controlada por el atacante cuando la víctima la abra.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2025

Vulnerabilidad en PRIMX ZONECENTRAL (CVE-2023-50442)
Fecha de publicación:
13/12/2023
Idioma:
Español
Un atacante local (con los privilegios adecuados) puede modificar las carpetas cifradas creadas por PRIMX ZONECENTRAL hasta 2023.5 para que tipos de archivos específicos queden excluidos del cifrado temporalmente. (Sin embargo, esta modificación se puede detectar, como se describe en la Guía del administrador).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2023

Vulnerabilidad en PRIMX CRYHOD (CVE-2023-50443)
Fecha de publicación:
13/12/2023
Idioma:
Español
Un atacante no autenticado puede modificar los discos cifrados creados por PRIMX CRYHOD para Windows antes de Q.2020.4 (envío de calificación ANSSI) o CRYHOD para Windows antes de 2023.5 para incluir una referencia UNC que pueda activar el tráfico de red saliente desde las maquinas en las que se abren los discos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2023

Vulnerabilidad en CodeAstro POS y Inventory Management System 1.0 (CVE-2023-6775)
Fecha de publicación:
13/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en CodeAstro POS y Inventory Management System 1.0. Ha sido clasificada como problemática. Esto afecta a una parte desconocida del archivo /item/item_con. La manipulación del argumento item_name conduce a cross site scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-247911.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en IBM System Storage Virtualization Engine (CVE-2023-49877)
Fecha de publicación:
13/12/2023
Idioma:
Español
IBM System Storage Virtualization Engine TS7700 3957-VEC, 3948-VED y 3957-VEC podría permitir que un usuario autenticado remotamente obtenga información confidencial, causada por un filtrado inadecuado de las URL. Al enviar una solicitud HTTP GET especialmente manipulada, un atacante podría aprovechar esta vulnerabilidad para ver el código fuente de la aplicación, información de configuración del sistema u otros datos confidenciales relacionados con la interfaz de administración. ID de IBM X-Force: 272651.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2023

Vulnerabilidad en IBM System Storage Virtualization Engine (CVE-2023-49878)
Fecha de publicación:
13/12/2023
Idioma:
Español
IBM System Storage Virtualization Engine TS7700 3957-VEC, 3948-VED y 3957-VEC podría permitir a un atacante remoto obtener información confidencial cuando se devuelve un mensaje de error técnico detallado en el navegador. Esta información podría usarse en futuros ataques contra el sistema. ID de IBM X-Force: 272652.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2023

Vulnerabilidad en jq (CVE-2023-50246)
Fecha de publicación:
13/12/2023
Idioma:
Español
jq es un procesador JSON de línea de comandos. La versión 1.7 es vulnerable al desbordamiento de búfer de almacenamiento dinámico. La versión 1.7.1 contiene un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/04/2025

Vulnerabilidad en CKAN (CVE-2023-50248)
Fecha de publicación:
13/12/2023
Idioma:
Español
CKAN es un sistema de gestión de datos de código abierto para impulsar centros y portales de datos. A partir de la versión 2.0.0 y anteriores a las versiones 2.9.10 y 2.10.3, al enviar una solicitud POST al endpoint `/dataset/new` (incluida la cookie de autenticación o el encabezado `Authorization`) con un archivo especialmente manipulado campo, un atacante puede crear un error de falta de memoria en el servidor de alojamiento. Para desencadenar este error, el atacante debe tener permisos para crear o editar conjuntos de datos. Esta vulnerabilidad ha sido parcheada en CKAN 2.10.3 y 2.9.10.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2023

Vulnerabilidad en Audiobookshelf (CVE-2023-47619)
Fecha de publicación:
13/12/2023
Idioma:
Español
Audiobookshelf es un servidor de podcasts y audiolibros autohospedado. En las versiones 2.4.3 y anteriores, los usuarios con permiso de actualización pueden leer archivos arbitrarios, eliminar archivos arbitrarios y enviar una solicitud GET a URL arbitrarias y leer la respuesta. Este problema puede dar lugar a la divulgación de información. Al momento de la publicación, no hay parches disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2023

Vulnerabilidad en Audiobookshelf (CVE-2023-47624)
Fecha de publicación:
13/12/2023
Idioma:
Español
Audiobookshelf es un servidor de podcasts y audiolibros autohospedado. En las versiones 2.4.3 y anteriores, cualquier usuario (independientemente de sus permisos) puede leer archivos del sistema de archivos local debido a un path traversal en el endpoint `/hls`. Este problema puede dar lugar a la divulgación de información. Al momento de la publicación, no hay parches disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2023

Vulnerabilidad en Jellyfin (CVE-2023-48702)
Fecha de publicación:
13/12/2023
Idioma:
Español
Jellyfin es un sistema para gestionar y transmitir medios. Antes de la versión 10.8.13, el endpoint `/System/MediaEncoder/Path` ejecuta un archivo arbitrario usando `ProcessStartInfo` a través de la función `ValidateVersion`. Un administrador malintencionado puede configurar un recurso compartido de red y proporcionar una ruta UNC a `/System/MediaEncoder/Path` que apunta a un ejecutable en el recurso compartido de red, lo que hace que el servidor Jellyfin ejecute el ejecutable en el contexto local. El endpoint se eliminó en la versión 10.8.13.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2023

Vulnerabilidad en CodeAstro POS y Inventory Management System 1.0 (CVE-2023-6774)
Fecha de publicación:
13/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en CodeAstro POS y Inventory Management System 1.0 y se clasificó como problemática. Una función desconocida del archivo /accounts_con/register_account es afectada por este problema. La manipulación del argumento Nombre de Usuario con la entrada conduce a cross-site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-247910 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024
Suscribirse a Vulnerabilidades