Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la ejecución de comandos de CLI en Cisco DNA Spaces Connector (CVE-2021-1558)
Fecha de publicación:
22/05/2021
Idioma:
Español
Múltiples vulnerabilidades en Cisco DNA Spaces Connector podrían permitir a un atacante local autenticado elevar privilegios y ejecutar comandos arbitrarios en el sistema operativo subyacente como root. Estas vulnerabilidades son debido a restricciones insuficientes durante la ejecución de comandos de CLI afectados. Un atacante podría explotar estas vulnerabilidades al aprovechar las restricciones insuficientes durante la ejecución de estos comandos. Una explotación con éxito podría permitir al atacante elevar privilegios de dnasadmin y ejecutar comandos arbitrarios en el sistema operativo subyacente como root
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la ejecución de comandos de CLI en Cisco DNA Spaces Connector (CVE-2021-1557)
Fecha de publicación:
22/05/2021
Idioma:
Español
Múltiples vulnerabilidades en Cisco DNA Spaces Connector podrían permitir a un atacante local autenticado elevar privilegios y ejecutar comandos arbitrarios en el sistema operativo subyacente como root. Estas vulnerabilidades son debido a restricciones insuficientes durante la ejecución de comandos de CLI afectados. Un atacante podría explotar estas vulnerabilidades al aprovechar las restricciones insuficientes durante la ejecución de estos comandos. Una explotación con éxito podría permitir al atacante elevar privilegios de dnasadmin y ejecutar comandos arbitrarios en el sistema operativo subyacente como root
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en los parámetros URL en una petición HTTP en la interfaz de administración basada en web de Cisco Finesse (CVE-2021-1358)
Fecha de publicación:
22/05/2021
Idioma:
Español
Una vulnerabilidad en llevar la interfaz de administración basada en web de Cisco Finesse, podría permitir a un atacante remoto no autenticado redireccionar a un usuario a una página web no deseada. Esta vulnerabilidad es debido a una comprobación inapropiada de la entrada de los parámetros URL en una petición HTTP que es enviada hacia un sistema afectado. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz para que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante hacer que la interfaz redireccione al usuario a una URL maliciosa específica. Este tipo de vulnerabilidad es conocida como redireccionamiento abierto y es usada en ataques de phishing que hacen que los usuarios visiten sitios maliciosos sin saberlo
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de administración basada en web de Cisco Finesse (CVE-2021-1254)
Fecha de publicación:
22/05/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Finesse, podrían permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz. Estas vulnerabilidades son debido a una comprobación insuficiente de la entrada suministrada por el usuario mediante la interfaz de administración basada en web del software afectado. Un atacante podría explotar estas vulnerabilidades al inyectar código malicioso en la interfaz de administración basada en web y al persuadir a un usuario para que haga clic en un enlace malicioso. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Un atacante necesita credenciales de administrador válidas para inyectar el código script malicioso
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el shell restringido de Cisco Evolved Programmable Network (EPN) Manager, Cisco Identity Services Engine (ISE) y Cisco Prime Infrastructure (CVE-2021-1306)
Fecha de publicación:
22/05/2021
Idioma:
Español
Una vulnerabilidad en el shell restringido de Cisco Evolved Programmable Network (EPN) Manager, Cisco Identity Services Engine (ISE) y Cisco Prime Infrastructure, podría permitir a un atacante autenticado local identificar directorios y escribir archivos arbitrarios en el sistema de archivos. Esta vulnerabilidad es debido a una comprobación inapropiada de los parámetros que son enviados hacia un comando de CLI dentro del shell restringido. Un atacante podría explotar esta vulnerabilidad iniciando sesión en el dispositivo y emitiendo determinados comandos de CLI. Una explotación con éxito podría permitir al atacante identificar directorios de archivos en el dispositivo afectado y escribir archivos arbitrarios en el sistema de archivos del dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe ser un usuario de shell autenticado
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Cisco Prime Infrastructure y Evolved Programmable Network (EPN) Manager (CVE-2021-1487)
Fecha de publicación:
22/05/2021
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Infrastructure y Evolved Programmable Network (EPN) Manager, podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en un sistema afectado. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario para la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el Sistema Operativo (SO) subyacente con los permisos de un usuario especial no root. De esta forma, un atacante podría tomar el control del sistema afectado, lo que le permitiría obtener y alterar datos confidenciales. El atacante también podría afectar los dispositivos administrados por el sistema afectado al enviar archivos de configuración arbitrarios, recuperar las credenciales del dispositivo y la información confidencial y, en última instancia, socavar la estabilidad de los dispositivos, causando una condición de denegación de servicio (DoS)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la ejecución de un comando en Cisco DNA Spaces Connector (CVE-2021-1560)
Fecha de publicación:
22/05/2021
Idioma:
Español
Múltiples vulnerabilidades en Cisco DNA Spaces Connector podrían permitir a un atacante remoto autenticado llevar a cabo un ataque de inyección de comandos en un dispositivo afectado. Estas vulnerabilidades son debido a un saneamiento insuficiente de entrada cuando se ejecutan comandos afectados. Un atacante muy privilegiado podría explotar estas vulnerabilidades en un Cisco DNA Spaces Connector al inyectar una entrada diseñada durante la ejecución del comando. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios como root dentro del Contenedor docker container
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de una petición HTTP en la interfaz de usuario web de Cisco Modeling Labs (CVE-2021-1531)
Fecha de publicación:
22/05/2021
Idioma:
Español
Una vulnerabilidad en la interfaz de usuario web de Cisco Modeling Labs podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios con privilegios de la aplicación web en el sistema operativo subyacente de un servidor de Cisco Modeling Labs afectado. Esta vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario para la Interfaz de Usuario web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada hacia un servidor afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios con privilegios de la aplicación web, virl2, en el sistema operativo subyacente del servidor afectado. Para explotar esta vulnerabilidad, el atacante debe tener credenciales de usuario válidas en la Interfaz de Usuario web
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la biblioteca /sqfs/lib/libsal.so.0.0. por una aplicación CGI en los dispositivos NETGEAR (CVE-2021-33514)
Fecha de publicación:
21/05/2021
Idioma:
Español
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por un atacante no autenticado por medio de la biblioteca vulnerable /sqfs/lib/libsal.so.0.0 usado por una aplicación CGI, como es demostrado por setup.cgi?token=';$HTTP_USER_AGENT;' con un comando del sistema operativo en el campo User-Agent. Esto afecto a GC108P versiones anteriores a1.0.7.3, GC108PP versiones anteriores a 1.0.7.3, GS108Tv3 versiones anteriores a 7.0.6.3, GS110TPPv1 versiones anteriores a 7.0.6.3, GS110TPv3 versiones anteriores a 7.0.6.3, GS110TUPv1 versiones anteriores a 1.0.4.3, GS710TUPv1 versiones anteriores a 1.0.4.3, GS716TP versiones anteriores a 1.0.2.3, GS716TPP versiones anteriores a 1.0.2.3, GS724TPPv1 versiones anteriores a 2.0.4.3, GS724TPv2 versiones anteriores a 2.0.4.3, GS728TPPv2 versiones anteriores a 6.0.6.3, GS728TPv2 versiones anteriores a 6.0.6.3, GS752TPPv1 versiones anteriores a 6.0.6.3, GS752TPv2 versiones anteriores a 6.0.6.3, MS510TXM versiones anteriores a 1.0.2.3, y MS510TXUP versiones anteriores a 1.0.2.3
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/01/2022

Vulnerabilidad en el renderizado de la pestaña de propiedad en Plone (CVE-2021-33508)
Fecha de publicación:
21/05/2021
Idioma:
Español
Plone versiones hasta 5.2.4, permite un ataque de tipo XSS por medio de un nombre completo que es manejado inapropiadamente durante el renderizado de la pestaña de propiedad de un elemento de contenido
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en los argumentos de palabras clave en la transformación ReStructuredText en un script de Python en Plone (CVE-2021-33509)
Fecha de publicación:
21/05/2021
Idioma:
Español
Plone versiones hasta 5.2.4, permite a administradores autenticados remotos diseñar E/S de discos por medio de argumentos de palabras clave diseñados a la transformación ReStructuredText en un script de Python
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/05/2021

Vulnerabilidad en una URL de evento en Plone (CVE-2021-33510)
Fecha de publicación:
21/05/2021
Idioma:
Español
Plone versiones hasta 5.2.4, permite a administradores autenticados remotos conducir ataques de tipo SSRF por medio de una URL de evento para leer una línea de un archivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021
Suscribirse a Vulnerabilidades