Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la instalación de una imagen OVA en el Software Cisco NX-OS y el Software Cisco IOS XE (CVE-2019-12662)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el Software Cisco NX-OS y el Software Cisco IOS XE, podría permitir que un atacante local autenticado con credenciales válidas de administrador o nivel de privilegio 15 cargue una imagen de servicio virtual y omita la comprobación de firma en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de firma inapropiada durante la instalación de una imagen de Open Virtual Appliance (OVA). Un atacante local autenticado podría explotar esta vulnerabilidad y cargar una imagen OVA maliciosa y sin firmar en un dispositivo afectado. Una explotación con éxito podría permitir a un atacante llevar a cabo la ejecución de código en una imagen OVA de software diseñada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en los mensajes RADIUS en el módulo de aprovisionamiento Cisco TrustSec (CTS) Protected Access Credential (PAC) del software Cisco IOS XE (CVE-2019-12663)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el módulo de aprovisionamiento Cisco TrustSec (CTS) Protected Access Credential (PAC) del software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a la comprobación inapropiada de atributos en los mensajes RADIUS. Un atacante podría explotar esta vulnerabilidad mediante el envío de un mensaje RADIUS malicioso hacia un dispositivo afectado mientras el dispositivo se encuentra en un estado específico.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en el sistema operativo base Linux en el Guest Shell del Software Cisco IOS XE (CVE-2019-12666)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el Guest Shell del Software Cisco IOS XE, podría permitir a un atacante local autenticado realizar un salto de directorio en el sistema operativo base Linux del software Cisco IOS XE. La vulnerabilidad es debido a la comprobación incompleta de determinados comandos. Un atacante podría explotar esta vulnerabilidad al acceder primero al Guest Shell y luego ingresar comandos específicos. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema operativo base Linux.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la interfaz web en el código del framework web del Software Cisco IOS XE (CVE-2019-12667)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el código del framework web del Software Cisco IOS XE, podría permitir a un atacante remoto autenticado realizar un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario de la interfaz web del software afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente de algunos parámetros que son pasados al servidor web del software afectado. Un atacante podría explotar esta vulnerabilidad mediante el convencimiento de un usuario de la interfaz web para que acceda a un enlace malicioso o mediante la intercepción de una petición de usuario para la interfaz web afectada e inyectar código malicioso en la petición. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz web afectada o permitirle a al atacante acceder a información confidencial basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en el parámetro banner en la interfaz web en el código del framework web de los Software Cisco IOS y Cisco IOS XE (CVE-2019-12668)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el código del framework web de los Software Cisco IOS y Cisco IOS XE, podría permitir a un atacante remoto autenticado realizar un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario de la interfaz web del software afectado usando el parámetro banner. La vulnerabilidad es debido a una comprobación de entrada insuficiente de los parámetros banner que son pasados hacia el servidor web del software afectado. Un atacante podría explotar esta vulnerabilidad mediante el diseño de un parámetro de banner y guardarlo. El atacante podría convencer a un usuario de la interfaz web para acceder a un enlace malicioso o podría interceptar una petición del usuario para la interfaz web afectada e inyectar código malicioso en la petición. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz web afectada o permitir al atacante acceder a información confidencial basada en navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en el sistema operativo (SO) subyacente en el sistema de archivos del Software Cisco IOS XE (CVE-2019-12672)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el sistema de archivos del Software Cisco IOS XE, podría permitir a un atacante local autenticado, con acceso físico a un dispositivo afectado, ejecutar código arbitrario en el sistema operativo (SO) subyacente con privilegios root. La vulnerabilidad es debido a una comprobación insuficiente de la ubicación del archivo. Un atacante podría explotar esta vulnerabilidad colocando el código en un formato específico en un dispositivo USB e insertándolo en un dispositivo Cisco afectado. Una explotación con éxito podría permitir al atacante ejecutar el código con privilegios root sobre el sistema operativo subyacente del dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en un comando de la CLI relacionado con Virtualization Manager (VMAN) en el sistema operativo Linux subyacente del software Cisco IOS XE (CVE-2019-12661)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en un comando de la CLI relacionado con Virtualization Manager (VMAN) del software Cisco IOS XE, podría permitir a un atacante local autenticado ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con un nivel de privilegio de root. La vulnerabilidad es debido a una comprobación insuficiente de los argumentos pasados ??a un comando específico de CLI de VMAN, en el dispositivo afectado. Un atacante con acceso de administrador a un dispositivo afectado podría explotar esta vulnerabilidad al incluir entradas maliciosas como el argumento de un comando afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo con privilegios root, lo que puede conllevar a un compromiso total del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la función de procesamiento de paquetes de ingreso del software Cisco IOS para Cisco Catalyst 4000 Series Switches (CVE-2019-12652)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en la función de procesamiento de paquetes de ingreso del software Cisco IOS para Cisco Catalyst 4000 Series Switches, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) sobre un dispositivo afectado. La vulnerabilidad es debido a la asignación de recursos inapropiada cuando se procesan paquetes TCP direccionados al dispositivo sobre Cisco Catalyst 4000 Series Switches específicos. Un atacante podría explotar esta vulnerabilidad mediante el envío de secuencias TCP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría causar que el dispositivo afectado se quede sin recursos de almacenamiento intermedio, perjudicando las operaciones del plano de control y los protocolos del plano de administración, resultando en una condición DoS. Esta vulnerabilidad solo puede ser activada por el tráfico que está destinado hacia un dispositivo afectado y no puede ser explotado utilizando el tráfico que transita en un dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2020

Vulnerabilidad en el código de administración de recursos del sistema de archivos del software Cisco IOS XE (CVE-2019-12658)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el código de administración de recursos del sistema de archivos del Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado agotar los recursos del sistema de archivos en un dispositivo afectado y cause una condición de denegación de servicio (DoS). La vulnerabilidad es debido a la gestión ineficaz de los recursos del sistema de archivos subyacentes. Un atacante podría explotar esta vulnerabilidad al llevar a cabo acciones específicas que resulten en el envío de mensajes a archivos de registro específicos del sistema operativo. Una explotación con éxito podría permitir al atacante agotar el espacio disponible del sistema de archivos en un dispositivo afectado. Esto podría causar que el dispositivo se bloquee y se recargue, resultando en una condición DoS para los clientes cuyo tráfico de red transita por el dispositivo. Tras la recarga del dispositivo, el espacio del sistema de archivos afectado se borra y el dispositivo volverá a la operación normal. Sin embargo, la explotación continua de esta vulnerabilidad podría causar bloqueos forzosos y recargas posteriores, lo que podría conllevar a una condición DoS extendida.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2020

Vulnerabilidad en la implementación de TLS en el entorno de la aplicación IOx de múltiples plataformas Cisco (CVE-2019-12656)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el entorno de la aplicación IOx de múltiples plataformas Cisco, podría permitir a un atacante remoto no autenticado causar que el servidor web IOx detenga el procesamiento de peticiones HTTPS, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a un problema de implementación de Transport Layer Security (TLS). Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes TLS diseñados hacia el servidor web IOx en un dispositivo afectado. Una explotación con éxito podría permitir que el atacante cause que el servidor web de IOx detenga el procesamiento de peticiones HTTPS, resultando en una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2020

Vulnerabilidad en la biblioteca común del Session Initiation Protocol (SIP) de los software Cisco IOS y IOS XE (CVE-2019-12654)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en la biblioteca común del Session Initiation Protocol (SIP) de los software Cisco IOS y IOS XE, podría permitir a un atacante remoto no autenticado desencadenar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a insuficientes controles de saneamiento sobre una estructura de datos interna. Un atacante podría explotar esta vulnerabilidad mediante el envío de una secuencia de mensajes SIP maliciosos hacia un dispositivo afectado. Una explotación podría permitir al atacante causar una desreferencia del puntero NULL, resultando en un bloqueo del proceso iosd. Esto desencadena una recarga del dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2023

Vulnerabilidad en los paquetes IPv6 en Unified Threat Defense (UTD) en el Software Cisco IOS XE (CVE-2019-12657)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en Unified Threat Defense (UTD) en el Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar que un dispositivo afectado se recargue. La vulnerabilidad es debido a la comprobación inapropiada de los paquetes IPv6 por medio de la función UTD. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico IPv6 por medio de un dispositivo afectado que esté configurado con UTD. Una explotación con éxito podría permitir al atacante causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2021
Suscribirse a Vulnerabilidades