Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un árbol de directorios con directorios profundamente anidados en Hardlink (CVE-2011-3630)
Fecha de publicación:
26/11/2019
Idioma:
Español
Hardlink versiones anteriores a 0.1.2, sufre de múltiples fallos de desbordamiento de búfer en la región stack de la memoria debido a la manera en que son procesados los árboles de directorios con directorios profundamente anidados. Un atacante remoto podría proveer un árbol de directorios especialmente diseñado y engañar al usuario local para consolidarlo, conllevando a un bloqueo del ejecutable de hardlink o una ejecución de código potencialmente arbitraria con los privilegios del usuario que ejecuta el ejecutable de hardlink.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2024

Vulnerabilidad en la interfaz de administración web del Software Cisco AsyncOS para Cisco Web Security Appliance (WSA) (CVE-2019-15956)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración web del Software Cisco AsyncOS para Cisco Web Security Appliance (WSA), podría permitir a un atacante remoto autenticado realizar un reinicio no autorizado del sistema en un dispositivo afectado. La vulnerabilidad es debido a controles de autorización inapropiados para una URL específica en la interfaz de administración web. Un atacante podría explotar esta vulnerabilidad al enviar una petición HTTP diseñada en un dispositivo afectado. Una explotación con éxito podría tener un doble impacto: el atacante podría cambiar la contraseña del administrador, conseguir acceso privilegiado o restablecer los detalles de configuración de red, causando una condición de denegación de servicio (DoS). En ambos escenarios, una intervención manual es requerida para restaurar las operaciones normales.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE) y el Software Cisco RoomOS (CVE-2019-15967)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE) y el Software Cisco RoomOS, podría permitir a un atacante local autenticado habilitar la grabación de audio sin notificar a usuarios. La vulnerabilidad es debido a la presencia de comandos de depuración innecesariamente. Un atacante podría explotar esta vulnerabilidad al conseguir acceso sin restricciones al shell restringido y utilizar los comandos de depuración específicos. Una explotación con éxito podría permitir al atacante habilitar el micrófono de un dispositivo afectado para grabar audio sin notificar a usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en la interfaz de administración basada en web de determinados Enrutadores Cisco Small Business RV Series (CVE-2019-15271)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de determinados Enrutadores Cisco Small Business RV Series, podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios con privilegios root. El atacante debe tener una credencial válida o un token de sesión activo. La vulnerabilidad es debido a la falta de comprobación de entrada de la carga útil HTTP. Un atacante podría explotar esta vulnerabilidad al enviar una petición HTTP maliciosa a la interfaz de administración basada en web del dispositivo objetivo. Una explotación con éxito podría permitir al atacante ejecutar comandos con privilegios root.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2025

Vulnerabilidad en el motor de análisis HTTP en la interfaz web del Software Cisco Wireless LAN Controller (CVE-2019-15276)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la interfaz web del Software Cisco Wireless LAN Controller, podría permitir a un atacante remoto, con poco privilegiado y autenticado, causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad se presenta debido a un fallo del motor de análisis HTTP para manejar URL especialmente diseñadas. Un atacante podría explotar esta vulnerabilidad al autenticarse con pocos privilegios en un controlador afectado y enviar la URL diseñada a la interfaz web del dispositivo afectado. Por el contrario, un atacante no autenticado podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz web para cliquear sobre la URL creada. Una explotación con éxito podría permitir al atacante provocar un reinicio inesperado del dispositivo, conllevando a una condición de DoS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/12/2019

Vulnerabilidad en ciertos elementos con una grabación Webex almacenada ya sea en formato ARF o WRF en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows (CVE-2019-15286)
Fecha de publicación:
26/11/2019
Idioma:
Español
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan debido a una comprobación insuficiente de ciertos elementos con una grabación Webex almacenada ya sea en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF). Un atacante podría aprovechar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y al persuadir al usuario a que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario objetivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/12/2019

Vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE), Cisco TelePresence Codec (TC) y Cisco RoomOS Software (CVE-2019-15288)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE), Cisco TelePresence Codec (TC) y Cisco RoomOS Software, podría permitir a un atacante remoto autenticado escalar privilegios a un usuario sin restricciones del shell restringido. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad al incluir argumentos específicos al abrir una conexión SSH en un dispositivo afectado. Una explotación con éxito podría permitir al atacante conseguir acceso de usuario sin restricciones al shell restringido de un dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2019

Vulnerabilidad en ciertos elementos con una grabación Webex almacenada ya sea en formato ARF o WRF en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows (CVE-2019-15284)
Fecha de publicación:
26/11/2019
Idioma:
Español
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan debido a una comprobación insuficiente de ciertos elementos con una grabación Webex almacenada ya sea en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF). Un atacante podría aprovechar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y al persuadir al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario objetivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2019

Vulnerabilidad en la interfaz de administración basada en web de Cisco Industrial Network Director (IND) (CVE-2019-15973)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Industrial Network Director (IND), podría permitir a un atacante remoto no autenticado realizar un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de una aplicación afectada. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario mediante la interfaz de administración basada en web de una aplicación afectada. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz para cliquear sobre un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información basada en el navegador confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/12/2019

Vulnerabilidad en la API REST de Cisco Prime Infrastructure (PI) y Cisco Evolved Programmable Network Manager (EPNM) (CVE-2019-15958)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la API REST de Cisco Prime Infrastructure (PI) y Cisco Evolved Programmable Network Manager (EPNM), podría permitir a un atacante remoto no autenticado ejecutar código arbitrario con privilegios root en el sistema operativo subyacente. La vulnerabilidad es debido a una comprobación de entrada insuficiente durante la configuración inicial de alta disponibilidad (HA) y el proceso de registro de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al cargar un archivo malicioso durante el período de registro de HA. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios de nivel root en el sistema operativo subyacente. Nota: Esta vulnerabilidad solo puede ser explotada durante el período de registro de HA. Vea la sección Detalles para más información.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/10/2020

Vulnerabilidad en la página Webex Network Recording Admin de Cisco Webex Meetings (CVE-2019-15960)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la página Webex Network Recording Admin de Cisco Webex Meetings, podría permitir a un atacante remoto autenticado elevar los privilegios en el contexto de la página afectada. Para explotar esta vulnerabilidad, el atacante debe iniciar sesión como administrador de bajo nivel. La vulnerabilidad es debido a una comprobación de control de acceso insuficiente. Un atacante podría explotar esta vulnerabilidad al enviar una petición de URL diseñada para conseguir acceso privilegiado en el contexto de la página afectada. Una explotación con éxito podría permitir al atacante elevar los privilegios en la página Webex Recording Admin, lo que podría permitirle visualizar o eliminar grabaciones a las que normalmente no es capaz de acceder.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/11/2021

Vulnerabilidad en archivos inmutables en Tahoe-LAFS (CVE-2011-3617)
Fecha de publicación:
26/11/2019
Idioma:
Español
Tahoe-LAFS versiones v1.3.0 hasta v1.8.2, podría permitir a usuarios no autorizados eliminar archivos inmutables en algunos casos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024
Suscribirse a Vulnerabilidades