Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OPPO Store (CVE-2024-1610)
Fecha de publicación:
18/12/2024
Idioma:
Español
En la aplicación OPPO Store, existe una posible escalada de privilegios debido a una validación de entrada incorrecta.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en Simple Page Access Restriction para WordPress (CVE-2024-11295)
Fecha de publicación:
18/12/2024
Idioma:
Español
El complemento Simple Page Access Restriction para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.0.29 incluida a través de la función de búsqueda principal de WordPress. Esto permite que atacantes no autenticados extraigan datos confidenciales de publicaciones que se han restringido a roles de nivel superior, como usuarios registrados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2024

Vulnerabilidad en Optimizely Configured Commerce (CVE-2024-56175)
Fecha de publicación:
18/12/2024
Idioma:
Español
En Optimizely Configured Commerce anterior a la versión 5.2.2408, se pueden almacenar payloads y posteriormente ejecutarlos en los navegadores de los usuarios bajo condiciones específicas: XSS a partir de client-side template injection en los nombres de elementos de la lista.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2024

Vulnerabilidad en Snyk (CVE-2024-21547)
Fecha de publicación:
18/12/2024
Idioma:
Español
Las versiones del paquete spatie/browsershot anteriores a la 5.0.2 son vulnerables a Directory Traversal debido a la normalización de URI en el navegador, donde la comprobación file:// se puede eludir con file:\\. Un atacante podría leer cualquier archivo del servidor aprovechando la normalización de \ en /.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en Synology Media Server (CVE-2024-4464)
Fecha de publicación:
18/12/2024
Idioma:
Español
La vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario en el servicio de transmisión en Synology Media Server anterior a 1.4-2680, 2.0.5-3152 y 2.2.0-3325 permite a atacantes remotos leer archivos específicos a través de vectores no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en Snyk (CVE-2024-21548)
Fecha de publicación:
18/12/2024
Idioma:
Español
Las versiones del paquete bun anteriores a la 1.1.30 son vulnerables a la contaminación de prototipos debido a una desinfección de entrada incorrecta. Un atacante puede aprovechar esta vulnerabilidad a través de las API de Bun que aceptan objetos.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en Optimizely Configured Commerce (CVE-2024-56173)
Fecha de publicación:
18/12/2024
Idioma:
Español
En Optimizely Configured Commerce anterior a la versión 5.2.2408, se pueden almacenar payloads y posteriormente ejecutarlos en los navegadores de los usuarios bajo condiciones específicas: XSS desde JavaScript en un documento SVG.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2024

Vulnerabilidad en Optimizely Configured Commerce (CVE-2024-56174)
Fecha de publicación:
18/12/2024
Idioma:
Español
En Optimizely Configured Commerce anterior a la versión 5.2.2408, se pueden almacenar payloads y posteriormente ejecutarlos en los navegadores de los usuarios bajo condiciones específicas: XSS a partir de client-side template injection en el historial de búsqueda.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en Snyk (CVE-2024-21546)
Fecha de publicación:
18/12/2024
Idioma:
Español
Las versiones del paquete unisharp/laravel-filemanager anteriores a la 2.9.1 son vulnerables a la ejecución remota de código (RCE) mediante el uso de un tipo MIME válido y la inserción del carácter . después de la extensión del archivo php. Esto permite al atacante ejecutar código malicioso.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en Cost Calculator Builder de WordPress (CVE-2024-10892)
Fecha de publicación:
18/12/2024
Idioma:
Español
El complemento Cost Calculator Builder de WordPress anterior a la versión 3.2.43 no tiene comprobaciones CSRF en algunas acciones AJAX, lo que podría permitir a los atacantes hacer que los usuarios registrados realicen acciones no deseadas a través de ataques CSRF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2024

Vulnerabilidad en Fort (CVE-2024-56170)
Fecha de publicación:
18/12/2024
Idioma:
Español
Se descubrió un problema de integridad de validación en Fort hasta 1.6.4 antes de 2.0.0. Los manifiestos RPKI son listas de archivos relevantes que los clientes deben verificar. Suponiendo que todo lo demás sea correcto, se debe priorizar la versión más reciente de un manifiesto sobre otras versiones, para evitar repeticiones, accidentales o de otro tipo. Los manifiestos contienen los campos manifestNumber y thisUpdate, que se pueden usar para medir la relevancia de un manifiesto determinado, en comparación con otros manifiestos. El primero es un número secuencial de tipo serial y el segundo es la fecha en la que se creó el manifiesto. Sin embargo, el producto no compara la actualidad del manifiesto obtenido más recientemente con el manifiesto almacenado en caché. Como tal, es propenso a una reversión a una versión anterior si se entregó un manifiesto desactualizado válido. Esto conduce a una validación de origen de ruta desactualizada.
Gravedad: Pendiente de análisis
Última modificación:
18/12/2024

Vulnerabilidad en Fort (CVE-2024-56169)
Fecha de publicación:
18/12/2024
Idioma:
Español
Se descubrió un problema de integridad de validación en Fort hasta la versión 1.6.4 anterior a la versión 2.0.0. Se supone que las partes que confían en RPKI (como Fort) mantienen una caché de respaldo de los datos RPKI remotos. Esto se puede utilizar como una alternativa en caso de que una nueva búsqueda falle o genere archivos incorrectos. Sin embargo, el producto actualmente utiliza su caché simplemente como una herramienta de ahorro de ancho de banda (porque la búsqueda se realiza mediante deltas). Si una búsqueda falla a mitad de camino o genera archivos incorrectos, no hay una alternativa viable. Esto genera datos de validación de origen de ruta incompletos.
Gravedad: Pendiente de análisis
Última modificación:
18/12/2024
Suscribirse a Vulnerabilidades