Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Secure Sockets Layer (SSL)/Transport Layer Security (TLS) del software Firepower Threat Defense (FTD) de Cisco (CVE-2019-1970)
Fecha de publicación:
08/08/2019
Idioma:
Español
Una vulnerabilidad en el motor de inspección del protocolo Secure Sockets Layer (SSL)/Transport Layer Security (TLS) del software Firepower Threat Defense (FTD) de Cisco, podría permitir a un atacante remoto no autenticado omitir las políticas de archivo configuradas en un sistema afectado. La vulnerabilidad es debido a errores cuando se manejan mensajes SSL/TLS específicos. Un atacante podría explotar esta vulnerabilidad enviando paquetes HTTP diseñados que fluirían por medio de un sistema afectado. Una explotación con éxito podría permitir al atacante omitir las políticas de archivos configuradas y entregar una carga maliciosa a la red protegida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2024

Vulnerabilidad en SD-WAN Solution de Cisco (CVE-2019-1951)
Fecha de publicación:
08/08/2019
Idioma:
Español
Una vulnerabilidad en las funcionalidades de filtrado de paquete de SD-WAN Solution de Cisco, podría permitir a un atacante remoto no autenticado omitir los filtros de tráfico L3 y L4. La vulnerabilidad es debido a condiciones de filtrado de tráfico inapropiadas en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad diseñando un paquete TCP malicioso con características específicas y enviándolo a un dispositivo de destino. Una explotación con éxito podría permitir al atacante omitir los filtros de tráfico L3 y L4 e inyectar un paquete arbitrario en la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en IoT Field Network Director de Cisco (CVE-2019-1957)
Fecha de publicación:
08/08/2019
Idioma:
Español
Una vulnerabilidad en la interfaz web de IoT Field Network Director de Cisco, podría permitir a un atacante remoto no autenticado desencadenar un uso elevado de la CPU, resultando en una condición de una denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido al manejo inapropiado de las peticiones de renegociación de Transport Layer Security (TLS). Un atacante podría explotar esta vulnerabilidad enviando peticiones de renegociación a un ritmo elevado. Una explotación con éxito podría aumentar el uso de recursos en el sistema, eventualmente conllevando a una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en Enterprise NFV Infrastructure Software (NFVIS) de Cisco (CVE-2019-1959)
Fecha de publicación:
08/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Enterprise NFV Infrastructure Software (NFVIS) de Cisco, podría permitir a un atacante local autenticado leer archivos arbitrarios en el sistema operativo (SO) subyacente de un dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección de Detalles de este aviso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en Enterprise NFV Infrastructure Software (NFVIS) de Cisco (CVE-2019-1960)
Fecha de publicación:
08/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Enterprise NFV Infrastructure Software (NFVIS) de Cisco, podría permitir a un atacante local autenticado leer archivos arbitrarios en el sistema operativo (SO) subyacente de un dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección de Detalles de este aviso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en CMS de Backdrop (CVE-2019-14770)
Fecha de publicación:
08/08/2019
Idioma:
Español
En CMS de Backdrop versiones 1.12.x anteriores a 1.12.8 y versiones 1.13.x anteriores a 1.13.3, algunos enlaces de menú dentro de la barra de administración pueden ser diseñados para ejecutar JavaScript cuando el administrador inicia sesión y usa la funcionalidad search. (Este problema es mitigado por el atacante necesitando permisos para crear enlaces de menú administrativo, tal y como la creación de un tipo de contenido o diseño. Tales permisos están restringidos usualmente para usuarios confiables o administrativos).
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/08/2019

Vulnerabilidad en CMS de Backdrop (CVE-2019-14769)
Fecha de publicación:
08/08/2019
Idioma:
Español
CMS de Backdrop versiones 1.12.x anteriores a 1.12.8 y versiones 1.13.x anteriores a 1.13.3, no filtra suficiente la salida cuando se muestran ciertas etiquetas de bloque creadas por administradores. Un atacante podría diseñar una etiqueta especializada y luego hacer que un administrador ejecute scripting cuando se administre un diseño. (Este problema es mitigado por el atacante necesitando permiso para crear bloques personalizados en el sitio, que típicamente es un permiso administrativo).
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/08/2019

Vulnerabilidad en CMS de Backdrop (CVE-2019-14771)
Fecha de publicación:
08/08/2019
Idioma:
Español
CMS de Backdrop versiones 1.12.x anteriores a 1.12.8 y versiones 1.13.x anteriores a 1.13.3, permite cargar archivos de configuración de todo el sitio por medio de la interfaz de usuario o la línea de comandos. No comprueba suficientemente los archivos cargados en busca de datos no válidos, lo que potencialmente permite que los scripts que no sean de configuración sean cargados en el servidor. (Este ataque es mitigado por el atacante necesitando el permiso "Synchronize, import, and export configuration", que solo deben ser otorgados a administradores confiables. Otras medidas preventivas en CMS de Backdrop impiden la ejecución de scripts de PHP, entonces otro lenguaje de script del lado del servidor debe estar accesible en el servidor para ejecutar el código).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/08/2024

Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1928)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/03/2023

Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1929)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/03/2023

Vulnerabilidad en Adaptive Security Appliance (ASA) de Cisco (CVE-2019-1934)
Fecha de publicación:
07/08/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web del software Adaptive Security Appliance (ASA) de Cisco, podría permitir a un atacante remoto autenticado elevar los privilegios y ejecutar funciones administrativas en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de autorización insuficiente. Un atacante podría explotar esta vulnerabilidad iniciando sesión en un dispositivo afectado como un usuario poco privilegiado y luego enviando peticiones HTTPS específicas para ejecutar funciones administrativas utilizando la información recuperada durante el inicio de sesión inicial.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/08/2023

Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1924)
Fecha de publicación:
07/08/2019
Idioma:
Español
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/03/2023
Suscribirse a Vulnerabilidades