Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los dispositivos de video Cisco Webex y los endpoints de colaboración de Cisco en la implementación SSL de la solución Cisco Intelligent Proximity (CVE-2020-3155)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la implementación SSL de la solución Cisco Intelligent Proximity, podría permitir a un atacante remoto no autenticado visualizar o modificar la información compartida en los dispositivos de video Cisco Webex y los endpoints de colaboración de Cisco si los productos cumplen con las condiciones descritas en la sección de Productos Vulnerables. La vulnerabilidad es debido a la falta de comprobación del certificado del servidor SSL recibido cuando se establece una conexión a un dispositivo de video Cisco Webex o un endpoint de colaboración de Cisco. Un atacante podría explotar esta vulnerabilidad al usar técnicas de tipo man in the middle (MITM) para interceptar el tráfico entre el cliente afectado y un endpoint, y luego utilizar un certificado falsificado para suplantar el endpoint. Dependiendo de la configuración del endpoint, una explotación podría permitir al atacante visualizar el contenido de presentación compartido en él, modificar cualquier contenido presentado por la víctima o tener acceso a los controles de llamadas. Esta vulnerabilidad no afecta a los endpoints de colaboración registrados en la nube.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en un enlace en la interfaz basada en web de Cisco Prime Network Registrar (CPNR) (CVE-2020-3148)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz basada en web de Cisco Prime Network Registrar (CPNR), podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross-site request forgery (CSRF) sobre un sistema afectado. La vulnerabilidad es debido a insuficientes protecciones de CSRF en la interfaz basada en web. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario apuntado, con una sesión administrativa activa en el dispositivo afectado, para hacer clic en un enlace malicioso. Una explotación con éxito podría permitir a un atacante cambiar la configuración del dispositivo, lo que podría incluir la capacidad de editar o crear cuentas de usuario de cualquier nivel de privilegio. Algunos cambios en la configuración del dispositivo podrían impactar negativamente la disponibilidad de los servicios de red para otros dispositivos en redes administradas por CPNR.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en el control de acceso en el "token" en GeniXCMS (CVE-2020-10057)
Fecha de publicación:
04/03/2020
Idioma:
Español
GeniXCMS versión 1.1.7, es vulnerable a una escalada de privilegios de usuario debido a un control de acceso roto. Este problema se presenta debido a una corrección incompleta para CVE-2015-2680, en la cual el "token" es usado como un mecanismo de protección de tipo CSRF, pero sin la comprobación de que el "token" está asociado con un usuario administrativo.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en una grabación de Webex que se almacena en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF) en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows (CVE-2020-3127)
Fecha de publicación:
04/03/2020
Idioma:
Español
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows, podrían permitir a un atacante ejecutar código arbitrario sobre un sistema afectado. Las vulnerabilidades son debido a una comprobación insuficiente de determinados elementos dentro de una grabación de Webex que se almacena en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF). Un atacante podría explotar estas vulnerabilidades mediante el envío de un archivo ARF o WRF malicioso hacia un usuario por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en una grabación de Webex que es almacenada en formato ARF o WRF en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows (CVE-2020-3128)
Fecha de publicación:
04/03/2020
Idioma:
Español
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows, podrían permitir a un atacante ejecutar código arbitrario sobre un sistema afectado. Las vulnerabilidades son debido a una comprobación insuficiente de determinados elementos dentro de una grabación de Webex que es almacenada en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF). Un atacante podría explotar estas vulnerabilidades mediante el envío de un archivo ARF o WRF malicioso hacia un usuario por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en petición GET rom-0 en el Control de Acceso en la interfaz de administración web de D-Link DSL-2680 (CVE-2019-19224)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad de Control de Acceso Roto en la interfaz de administración web de D-Link DSL-2680 (versión de Firmware EU_1.03), permite a un atacante descargar la configuración (archivo binario) al enviar una petición GET rom-0 sin estar autenticado en la interfaz de administración.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2023

Vulnerabilidad en una petición POST Forms/dns_1 en el Control de Acceso en la interfaz de administración web de D-Link DSL-2680 (CVE-2019-19225)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad de Control de Acceso Roto en la interfaz de administración web de D-Link DSL-2680 (versión de Firmware EU_1.03), permite a un atacante cambiar los servidores DNS sin estar autenticado en la interfaz de administrador mediante el envío de una petición POST Forms/dns_1 diseñada.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2023

Vulnerabilidad en una petición POST Forms/WlanMacFilter_1 en el Control de Acceso en la interfaz de administración web de D-Link DSL-2680 (CVE-2019-19226)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad de Control de Acceso Roto en la interfaz de administración web de D-Link DSL-2680 (versión de Firmware EU_1.03), permite a un atacante habilitar o deshabilitar el filtrado de direcciones MAC al enviar una petición POST Forms/WlanMacFilter_1 diseñada sin estar autenticado en la interfaz de administración.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2023

Vulnerabilidad en petición POST Forms/wireless_autonetwork_1 en la página de administración info.html en la interfaz de administración web de D-Link DSL-2680 (CVE-2019-19222)
Fecha de publicación:
04/03/2020
Idioma:
Español
Un problema de tipo XSS almacenado en la interfaz de administración web de D-Link DSL-2680 (versión de Firmware EU_1.03) permite a un atacante autenticado inyectar código JavaScript arbitrario en la página de administración info.html mediante el envío de una petición POST Forms/wireless_autonetwork_1 diseñada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/04/2023

Vulnerabilidad en una petición GET reboot.html en Control de Acceso Roto en la interfaz de administración web de D-Link DSL-2680 (CVE-2019-19223)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad de Control de Acceso Roto en la interfaz de administración web de D-Link DSL-2680 (versión de Firmware EU_1.03) permite a un atacante reiniciar el enrutador al enviar una petición GET reboot.html sin ser autenticado en la interfaz de administración.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2023

Vulnerabilidad en el controlador de metacontenedores en el componente Seomatic para Craft CMS (CVE-2020-9757)
Fecha de publicación:
04/03/2020
Idioma:
Español
El componente Seomatic versiones anteriores a 3.3.0 para Craft CMS permite una Inyección de tipo Server-Side Template y una divulgación de información por medio de datos malformados en el controlador de metacontenedores.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/04/2022

Vulnerabilidad en el Java RMI Server en UNCTAD ASYCUDA World (CVE-2020-9761)
Fecha de publicación:
04/03/2020
Idioma:
Español
Se detectó un problema en UNCTAD ASYCUDA World versiones 2001 hasta 2020. El Java RMI Server presenta una Configuración Predeterminada No Segura, conllevando a una Ejecución de Código Java desde una URL remota, porque es llamado un método RMI Distributed Garbage Collector.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021
Suscribirse a Vulnerabilidades