Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en CMS de Backdrop (CVE-2019-14769)
Fecha de publicación:
08/08/2019
Idioma:
Español
CMS de Backdrop versiones 1.12.x anteriores a 1.12.8 y versiones 1.13.x anteriores a 1.13.3, no filtra suficiente la salida cuando se muestran ciertas etiquetas de bloque creadas por administradores. Un atacante podría diseñar una etiqueta especializada y luego hacer que un administrador ejecute scripting cuando se administre un diseño. (Este problema es mitigado por el atacante necesitando permiso para crear bloques personalizados en el sitio, que típicamente es un permiso administrativo).
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/08/2019

Vulnerabilidad en CMS de Backdrop (CVE-2019-14771)
Fecha de publicación:
08/08/2019
Idioma:
Español
CMS de Backdrop versiones 1.12.x anteriores a 1.12.8 y versiones 1.13.x anteriores a 1.13.3, permite cargar archivos de configuración de todo el sitio por medio de la interfaz de usuario o la línea de comandos. No comprueba suficientemente los archivos cargados en busca de datos no válidos, lo que potencialmente permite que los scripts que no sean de configuración sean cargados en el servidor. (Este ataque es mitigado por el atacante necesitando el permiso "Synchronize, import, and export configuration", que solo deben ser otorgados a administradores confiables. Otras medidas preventivas en CMS de Backdrop impiden la ejecución de scripts de PHP, entonces otro lenguaje de script del lado del servidor debe estar accesible en el servidor para ejecutar el código).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/08/2024

Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1928)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/03/2023

Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1929)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/03/2023

Vulnerabilidad en Adaptive Security Appliance (ASA) de Cisco (CVE-2019-1934)
Fecha de publicación:
07/08/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web del software Adaptive Security Appliance (ASA) de Cisco, podría permitir a un atacante remoto autenticado elevar los privilegios y ejecutar funciones administrativas en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de autorización insuficiente. Un atacante podría explotar esta vulnerabilidad iniciando sesión en un dispositivo afectado como un usuario poco privilegiado y luego enviando peticiones HTTPS específicas para ejecutar funciones administrativas utilizando la información recuperada durante el inicio de sesión inicial.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/08/2023

Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1924)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/03/2023

Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1926)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/03/2023

Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1927)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/03/2023

Vulnerabilidad en kernel de Linux (CVE-2019-14763)
Fecha de publicación:
07/08/2019
Idioma:
Español
En el kernel de Linux anterior a versión 4.16.4, un error de doble bloqueo en el archivo drivers/usb/dwc3/gadget.c puede causar un punto muerto con f_hid.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2022

Vulnerabilidad en Adaptive Security Appliance (ASA) de Cisco (CVE-2019-1945)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en la funcionalidad de smart tunnel de Adaptive Security Appliance (ASA) de Cisco, podrían permitir a un atacante local autenticado elevar los privilegios al usuario root o cargar un archivo de biblioteca malicioso mientras el túnel está siendo establecido. Para más información sobre estas vulnerabilidades, consulte la sección de Detalles de este aviso de seguridad.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en la funcionalidad del protocolo de enrutamiento de IS–IS en el software IOS XR de Cisco (CVE-2019-1918)
Fecha de publicación:
07/08/2019
Idioma:
Español
Una vulnerabilidad en la implementación en la funcionalidad del protocolo de enrutamiento de Intermediate System–to–Intermediate System (IS–IS) en el software IOS XR de Cisco, podría permitir a un atacante no autenticado que se encuentre en la misma área de IS-IS causar una condición de denegación de servicio (DoS). La vulnerabilidad es debido al procesamiento incorrecto de las unidades de datos del protocolo (PDU) de estado de enlace de IS–IS. Un atacante podría explotar esta vulnerabilidad enviando PDU específicas de estado de enlace a un sistema afectado para su procesamiento. Una explotación con éxito podría permitir al atacante causar cálculos incorrectos utilizados en los grupos de enlace de riesgo compartido remoto ponderado (SRLG) o en el Algoritmo Flexible IGP. También podría causar trazas de vuelta en los registros o potencialmente causar que el dispositivo receptor bloquee el proceso IS–IS, resultando en una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en Adaptive Security Appliance (ASA) de Cisco (CVE-2019-1944)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en la funcionalidad de smart tunnel de Adaptive Security Appliance (ASA) de Cisco, podrían permitir a un atacante local autenticado elevar los privilegios al usuario root o cargar un archivo de biblioteca malicioso mientras el túnel está siendo establecido. Para más información sobre estas vulnerabilidades, consulte la sección de Detalles de este aviso de seguridad.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020
Suscribirse a Vulnerabilidades