Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Vyper (CVE-2023-46247)
Fecha de publicación:
13/12/2023
Idioma:
Español
Vyper es un lenguaje de contrato inteligente pitónico para la máquina virtual Ethereum (EVM). Los contratos que contienen matrices grandes podrían subasignar la cantidad de ranuras que necesitan en 1. Antes de v0.3.8, el cálculo para determinar cuántas ranuras necesitaba una variable de almacenamiento usaba `math.ceil(type_.size_in_bytes / 32)`. El paso de punto flotante intermedio puede producir un error de redondeo si hay suficientes bits configurados en la mantisa IEEE-754. En términos generales, si `type_.size_in_bytes` es grande (> 2**46) y ligeramente menor que una potencia de 2, el cálculo puede sobrestimar cuántas ranuras se necesitan por 1. Si `type_.size_in_bytes` es ligeramente mayor que una potencia de 2, el cálculo puede subestimar cuántas ranuras se necesitan por 1. Este problema se solucionó en la versión 0.3.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/12/2023

Vulnerabilidad en Arduino Create Agent (CVE-2023-49296)
Fecha de publicación:
13/12/2023
Idioma:
Español
Arduino Create Agent permite a los usuarios utilizar las aplicaciones Arduino Create para cargar código a cualquier placa Arduino conectada por USB directamente desde el navegador. Una vulnerabilidad en versiones anteriores a la 1.3.6 afecta el endpoint `/certificate.crt` y la forma en que la interfaz web de ArduinoCreateAgent maneja los mensajes de error personalizados. Un atacante que sea capaz de persuadir a una víctima para que haga clic en un enlace malicioso puede realizar un ataque de Cross-Site Scripting Reflejadas en la interfaz web del agente de creación, lo que permitiría al atacante ejecutar código arbitrario del lado del cliente del navegador. La versión 1.3.6 contiene una solución para el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2023

Vulnerabilidad en PRIMX ZONECENTRAL (CVE-2023-50441)
Fecha de publicación:
13/12/2023
Idioma:
Español
Un atacante no autenticado puede modificar las carpetas cifradas creadas por PRIMX ZONECENTRAL para Windows antes de Q.2021.2 (envío de calificación ANSSI) o ZONECENTRAL para Windows antes de 2023.5 para incluir una referencia UNC que pueda activar el tráfico de red saliente desde las maquinas en las que se abren las carpetas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2023

Vulnerabilidad en ZED por PRIMX ZED! (CVE-2023-50444)
Fecha de publicación:
13/12/2023
Idioma:
Español
De forma predeterminada, los contenedores ZED producidos por PRIMX ZED! para Windows anteriores a Q.2020.3 (presentación de calificación ANSSI); ZED! para Windows anteriores a Q.2021.2 (presentación de calificación ANSSI); ZONECENTRAL para Windows antes de Q.2021.2 (presentación de calificación ANSSI); ZONECENTRAL para Windows antes de 2023.5; ZEDMAIL para Windows antes de 2023.5; y ZED! para Windows, Mac y Linux anteriores a 2023.5 incluyen una versión cifrada de información confidencial del usuario, lo que podría permitir que un atacante no autenticado la obtenga mediante fuerza bruta.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/12/2023

Vulnerabilidad en CodeAstro POS y Inventory Management System 1.0 (CVE-2023-6773)
Fecha de publicación:
13/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en CodeAstro POS y Inventory Management System 1.0 y se clasificó como problemática. Una función desconocida del archivo /accounts_con/register_account del componente User Creation Handler es afectada por esta vulnerabilidad. La manipulación del argumento account_type con la entrada Admin conduce a controles de acceso inadecuados. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-247909.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2024

Vulnerabilidad en Palo Alto Networks PAN-OS (CVE-2023-6794)
Fecha de publicación:
13/12/2023
Idioma:
Español
Vulnerabilidad de carga de archivos arbitraria en el software PAN-OS de Palo Alto Networks permite que un administrador de lectura y escritura autenticado con acceso a la interfaz web interrumpa los procesos del sistema y potencialmente ejecute código arbitrario con privilegios limitados en el firewall.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2023

Vulnerabilidad en Palo Alto Networks PAN-OS (CVE-2023-6795)
Fecha de publicación:
13/12/2023
Idioma:
Español
Vulnerabilidad de inyección de comandos del sistema operativo en el software PAN-OS de Palo Alto Networks permite a un administrador autenticado interrumpir los procesos del sistema y potencialmente ejecutar código arbitrario con privilegios limitados en el firewall.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2023

Vulnerabilidad en Palo Alto Networks PAN-OS (CVE-2023-6790)
Fecha de publicación:
13/12/2023
Idioma:
Español
Vulnerabilidad de cross-site scripting (XSS) basada en DOM en el software PAN-OS de Palo Alto Networks permite a un atacante remoto ejecutar una payload de JavaScript en el contexto del navegador de un administrador cuando ve un enlace específicamente manipulado a la interfaz web de PAN-OS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2023

Vulnerabilidad en Palo Alto Networks PAN-OS (CVE-2023-6791)
Fecha de publicación:
13/12/2023
Idioma:
Español
Vulnerabilidad de divulgación de credenciales en el software PAN-OS de Palo Alto Networks permite a un administrador autenticado de solo lectura obtener las credenciales en texto plano de integraciones de sistemas externos almacenados, como LDAP, SCP, RADIUS, TACACS+ y SNMP desde la interfaz web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2023

Vulnerabilidad en Palo Alto Networks PAN-OS (CVE-2023-6792)
Fecha de publicación:
13/12/2023
Idioma:
Español
Vulnerabilidad de inyección de comandos del sistema operativo en la API XML del software PAN-OS de Palo Alto Networks permite a un usuario de API autenticado interrumpir los procesos del sistema y potencialmente ejecutar código arbitrario con privilegios limitados en el firewall.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2023

Vulnerabilidad en Palo Alto Networks PAN-OS (CVE-2023-6793)
Fecha de publicación:
13/12/2023
Idioma:
Español
Vulnerabilidad de administración de privilegios inadecuada en el software PAN-OS de Palo Alto Networks permite a un administrador de solo lectura autenticado revocar claves API XML activas desde el firewall e interrumpir el uso de la API XML.
Gravedad CVSS v3.1: BAJA
Última modificación:
18/12/2023

Vulnerabilidad en GLPI (CVE-2023-46727)
Fecha de publicación:
13/12/2023
Idioma:
Español
GLPI es un paquete de software gratuito de gestión de activos y TI. A partir de la versión 10.0.0 y anteriores a la versión 10.0.11, el endpoint del inventario GLPI se puede utilizar para impulsar un ataque de inyección SQL. La versión 10.0.11 contiene un parche para el problema. Como workaround, deshabilite el inventario nativo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/12/2023
Suscribirse a Vulnerabilidades