Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en BIG-IP (CVE-2019-6598)
Fecha de publicación:
13/03/2019
Idioma:
Español
En BIG-IP, 14.0.0-14.0.0.2, 13.0.0-13.1.0.7, 12.1.0-12.1.3.5, 11.6.1-11.6.3.2, o 11.5.1-11.5.8 o Enterprise Manager 3.1.1, las peticiones mal formadas al TMUI (Traffic Management User Interface), también llamado utilidad BIG-IP Configuration, podría conducir a la interrupción de los servicios TMUI. Este ataque requiere un usuario autenticado con cualquier rol (aparte del rol "No Access"). El rol de usuario "No Access" no puede iniciar sesión y no cuenta con el niCVEl de acceso necesario para realizar el ataque.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en BIG-IP (CVE-2019-6600)
Fecha de publicación:
13/03/2019
Idioma:
Español
En BIG-IP 14.0.0-14.0.0.2, 13.0.0-13.1.1.3, 12.1.0-12.1.3.7, 11.6.1-11.6.3.2, o 11.5.1-11.5.8, cuando la autenticación remota está habilitada para usuarios administrativos y a todos los usuarios se les otorga el rol "guest", los valores no saneados pueden devolverse al cliente mediante la página de inicio de sesión. Esto puede conducir a un ataque de Cross-Site Scripting (XSS) contra clientes no autenticados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/02/2023

Vulnerabilidad en Cisco Common Services Platform Collector (CVE-2019-1723)
Fecha de publicación:
13/03/2019
Idioma:
Español
Una vulnerabilidad en Cisco Common Services Platform Collector (CSPC) podría permitir que un atacante remoto no autenticado acceda a un dispositivo afectado mediante el uso de una cuenta que tiene una contraseña estática por defecto. Esta cuenta no tiene privilegios de administrador. La vulnerabilidad existe debido a que el software afectado tiene una cuenta de usuario con una contraseña estática por defecto. Un atacante podría explotar esta vulnerabilidad conectándose remotamente al sistema afectado mediante esta cuenta. Un exploit con éxito podría permitir que el atacante consiga iniciar sesión en el CSPC utilizando la cuenta por defecto. Para Cisco CSPC 2.7.x, Cisco solucionó esta vulnerabilidad en la CVErsión 2.7.4.6. Para Cisco CSPC 2.8.x, Cisco solucionó esta vulnerabilidad en la CVErsión 2.8.1.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/10/2020

Vulnerabilidad en Vulnerabilidad en Cloud Foundry Cloud Controller (CVE-2019-3785)
Fecha de publicación:
13/03/2019
Idioma:
Español
Cloud Foundry Cloud Controller, en versiones anteriores a la 1.78.0, contiene un endpoint con autorización incorrecta. Un usuario autenticado remoto con permisos de lectura puede solicitar información de paquetes y recibir una URL firmada "bit-service" que otorga al usuario permisos de escritura al bit-service.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/08/2021

Vulnerabilidad en Cisco Small Business SPA514G IP Phones (CVE-2018-0389)
Fecha de publicación:
13/03/2019
Idioma:
Español
Una vulnerabilidad en la implementación del procesamiento de Session Initiation Protocol (SIP) en Cisco Small Business SPA514G IP Phones podría permitir que un atacante remoto sin autenticar haga que el dispositivo afectado no responda, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un procesamiento incorrecto de los mensajes de petición SIP por parte de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando mensajes SIP manipulados a un dispositivo afectado. Un exploit con éxito, podría permitir que el atacante consiga que el dispositivo afectado no responda, lo que da como resultado una condición de DoS que persista hasta que el dispositivo se reinicie manualmente. Cisco no ha publicado actualizaciones de software que aborden esta vulnerabilidad. Esta vulnerabilidad afecta a Cisco Small Business SPA514G IP Phones que ejecuten la distribución 7.6.2SR2 o anterior del firmware.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en RSA Authentication Manager (CVE-2019-3711)
Fecha de publicación:
13/03/2019
Idioma:
Español
RSA Authentication Manager, en CVErsiones anteriores a la 8.4 P1, contiene una vulnerabilidad de gestión insegura de credenciales. Un administrador malicioso de la consola de operaciones podría ser capaz de obtener el valor de una contraseña de dominio que había sido establecida por otro administrador de la consola de operaciones y emplearla para ataques.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en RSA Archer (CVE-2019-3715)
Fecha de publicación:
13/03/2019
Idioma:
Español
RSA Archer, en CVErsiones anteriores a la 6.5 SP1, contiene una vulnerabilidad de exposición de información. La información de las sesiones de usuario se almacena en texto plano en los archivos de registro de RSA Archer. Un usuario autenticado malicioso con acceso a los archivos de registro podría obtener la información expuesta para emplearla en más ataques.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en RSA Archer (CVE-2019-3716)
Fecha de publicación:
13/03/2019
Idioma:
Español
RSA Archer, en CVErsiones anteriores a la 6.5 SP2, contiene una vulnerabilidad de exposición de información. La contraseña de conexión a la base de datos podría almacenarse en texto plano en los archivos de registro de RSA Archer. Un usuario autenticado malicioso con acceso a los archivos de registro de podría obtener la contraseña expuesta para emplearla en más ataques.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en tinysvcmdns (CVE-2019-9748)
Fecha de publicación:
13/03/2019
Idioma:
Español
En tinysvcmdns, hasta el 16/01/2018, un servidor mDNS que procesa un paquete manipulado puede realizar operaciones arbitrarias de lectura de datos de hasta 16383 bytes desde el comienzo del búfer. Esto puede conducir a un fallo de segmentación en uncompress_nlabel en mdns.c y un cierre inesperado del servidor (dependiendo de la protección de memoria de la CPU y el sistema operativo) o la divulgación de contenido de la memoria mediante mensajes de error en una respuesta del servidor. NOTA: el sitio web del producto indica que "el proyecto no se está manteniendo desde 2013. ... Hay vulnerabilidades conocidas ... Se recomienda NO emplear esta biblioteca para cualquier producto/proyecto nuevo".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/03/2019

Vulnerabilidad en tinysvcmdns (CVE-2019-9747)
Fecha de publicación:
13/03/2019
Idioma:
Español
En tinysvcmdns, hasta el 16/01/2018, un paquete mDNS (Multicast DNS) maliciosamente manipulado desencadena un bucle infinito al analizar una consulta mDNS. Cuando mDNS comprimía etiquetas que se señalaban mutuamente, la función uncompress_nlabel entrará en un bucle infinito, intentando analizar el paquete con una consulta mDNS. Como resultado, el servidor mDNS se cuelga tras recibir el paquete mDNS malicioso. NOTA: el sitio web del producto indica que "el proyecto no se está manteniendo desde 2013. ... Hay vulnerabilidades conocidas ... Se recomienda NO emplear esta biblioteca para cualquier producto/proyecto nuevo".
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en Fluent Bit (CVE-2019-9749)
Fecha de publicación:
13/03/2019
Idioma:
Español
Se ha descubierto un problema en el plugin de entradas MQTT en Fluent Bit hasta la CVErsión 1.0.4. Cuando este plugin actúa como broker MQTT (servidor), gestiona de manera incorrecta los mensajes de red entrantes. Tras procesar un paquete manipulado, la función del plugin mqtt_packet_drop (en /plugins/in_mqtt/mqtt_prot.c) ejecuta la función memmoCVE() con un parámetro de tamaño negativo. Esto conduce a un cierre inesperado de todo el servidor Fluent Bit mediante una señal SIGSEGV.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en IoTivity (CVE-2019-9750)
Fecha de publicación:
13/03/2019
Idioma:
Español
En IoTivity hasta la versión 1.3.1, la interfaz del servidor CoAP puede emplearse para ataques de denegación de servicio (DoS) distribuido mediante la suplantación de la dirección de origen y la amplificación del tráfico basado en UDP. El tráfico reflejado es 6 veces mayor que las peticiones suplantadas. Esto ocurre debido a que la construcción de una respuesta "4.01 Unauthorized" se gestiona de manera incorrecta. NOTA: el fabricante indica que "aunque este es un ataque interesante, no hay planes de que el mantenedor lo solucione, ya que estamos migrando a IoTivity Lite".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades