Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo de actualización en algunos teléfonos inteligentes Huawei (CVE-2020-9142)
Fecha de publicación:
13/01/2021
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento del búfer en la región heap de la memoria en algunos teléfonos inteligentes Huawei. Una explotación con éxito de esta vulnerabilidad puede causar un desbordamiento de la pila y una sobrescritura de la memoria cuando el sistema procesa incorrectamente el archivo de actualización.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/01/2021

Vulnerabilidad en los enlaces simbólicos en los Enrutadores Secure FTP (SFTP) de Cisco StarOS para Cisco ASR 5000 Series (CVE-2021-1145)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en los Enrutadores Secure FTP (SFTP) de Cisco StarOS para Cisco ASR 5000 Series, podría permitir a un atacante autenticado remoto leer archivos arbitrarios en un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debería tener credenciales válidas en el dispositivo afectado. La vulnerabilidad es debido al manejo no seguro de enlaces simbólicos. Un atacante podría explotar esta vulnerabilidad mediante el envío de un comando SFTP diseñado hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante leer archivos arbitrarios en el dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en las comprobaciones de autorización para cambiar una contraseña en Cisco Connected Mobile Experiences (CMX) (CVE-2021-1144)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en Cisco Connected Mobile Experiences (CMX), podría permitir a un atacante autenticado remoto sin privilegios administrativos alterar la contraseña de cualquier usuario en un sistema afectado. La vulnerabilidad es debido al manejo incorrecto de las comprobaciones de autorización para cambiar una contraseña. Un atacante autenticado sin privilegios administrativos podría explotar esta vulnerabilidad mediante el envío de una petición HTTP modificada hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante alterar las contraseñas de cualquier usuario del sistema, incluyendo un usuario administrativo, y luego hacerse pasar por ese usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de administración basada en web del software Cisco DNA Center (CVE-2021-1130)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web del software Cisco DNA Center, podría permitir a un atacante autenticado remoto conducir un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de un dispositivo afectado. La vulnerabilidad se presenta porque la interfaz de administración basada en web no comprueba apropiadamente la entrada suministrada por el usuario. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario para cliquear un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador. Para explotar esta vulnerabilidad, un atacante debería tener credenciales administrativas en el dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la implementación del Protocolo de Cisco Discovery Protocol para Cisco Video Surveillance 8000 Series IP Cameras (CVE-2021-1131)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en la implementación del Cisco Discovery Protocol para Cisco Video Surveillance 8000 Series IP Cameras, podría permitir a un atacante adyacente no autenticado causar la recarga de una cámara IP afectada. La vulnerabilidad es debido a una falta de comprobaciones cuando los mensajes son procesados desde Cisco Discovery Protocol. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete de Cisco Discovery Protocol malicioso hacia una cámara IP afectada. Una explotación con éxito podría permitir al atacante hacer que la cámara IP afectada se recargue inesperadamente, resultando en una condición de denegación de servicio (DoS). Nota: Cisco Discovery Protocol es un protocolo de capa 2. Para explotar esta vulnerabilidad, un atacante debe estar en el mismo dominio de transmisión que el dispositivo afectado (Capa 2 adyacente).
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1147)
Fecha de publicación:
13/01/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto inyectar comandos arbitrarios que son ejecutados con privilegios root. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo apuntado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1146)
Fecha de publicación:
13/01/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto inyectar comandos arbitrarios que son ejecutados con privilegios root. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo apuntado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en los controles de autorización en las peticiones GET de la API en Cisco Connected Mobile Experiences (CMX) API (CVE-2021-1143)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en autorizaciones de Cisco Connected Mobile Experiences (CMX) API, podría permitir a un atacante autenticado remoto enumerar qué usuarios existen en el sistema. La vulnerabilidad es debido a una falta de controles de autorización para determinadas peticiones GET de la API. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones GET de la API especifica hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante enumerar a los usuarios del sistema CMX.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el acceso al búfer con un valor de longitud en algunos teléfonos inteligentes Huawei (CVE-2020-9140)
Fecha de publicación:
13/01/2021
Idioma:
Español
Se presenta una vulnerabilidad con el acceso al búfer con un valor de longitud incorrecto en algunos teléfonos inteligentes Huawei. Los usuarios no autorizados pueden activar la ejecución del código cuando se produce un desbordamiento del búfer.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en algunos teléfonos inteligentes Huawei (CVE-2020-9141)
Fecha de publicación:
13/01/2021
Idioma:
Español
Se presenta una vulnerabilidad de administración de privilegios inapropiada en algunos teléfonos inteligentes Huawei. Una explotación con éxito de esta vulnerabilidad puede causar una divulgación de información y el funcionamiento inapropiado debido a una verificación insuficiente de la autenticidad de los datos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en algunos teléfonos inteligentes de Huawei (CVE-2020-9143)
Fecha de publicación:
13/01/2021
Idioma:
Español
Se presenta una vulnerabilidad de falta de autenticación en algunos teléfonos inteligentes de Huawei. Una explotación con éxito de esta vulnerabilidad puede conllevar a una exposición de información poco confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el almacenamiento de las credenciales para el servidor proxy de Cisco Firepower Management Center (FMC) (CVE-2021-1126)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en el almacenamiento de las credenciales del servidor proxy de Cisco Firepower Management Center (FMC), podría permitir a un atacante local autenticado visualizar credenciales de un servidor proxy configurado. La vulnerabilidad es debido al almacenamiento de texto sin cifrar y los permisos débiles de los archivos de configuración relacionados. Un atacante podría explotar esta vulnerabilidad mediante el acceso hacia la CLI del software afectado y al visualizar el contenido de los archivos afectados. Una explotación con éxito podría permitir al atacante visualizar las credenciales que son utilizadas para acceder al servidor proxy.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2024
Suscribirse a Vulnerabilidades