Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en The Moron Test (CVE-2017-13100)
Fecha de publicación:
15/08/2018
Idioma:
Español
La aplicación de iOS The Moron Test, de DistinctDev, Inc., en su versión 6.3.1 del 2017-05-04, emplea una clave embebida para el cifrado. Los datos almacenados utilizando esta clave pueden ser descifrados por cualquiera que pueda acceder a esta clave.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en musical.ly (CVE-2017-13101)
Fecha de publicación:
15/08/2018
Idioma:
Español
La aplicación de iOS musical.ly - your video social network, de Musical.ly Inc., en su versión 6.1.6 del 03/10/2017, emplea una clave embebida para el cifrado. Los datos almacenados utilizando esta clave pueden ser descifrados por cualquiera que pueda acceder a esta clave.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Gameloft Asphalt Xtreme: Offroad Rally Racing (CVE-2017-13102)
Fecha de publicación:
15/08/2018
Idioma:
Español
La aplicación de iOS Gameloft Asphalt Xtreme: Offroad Rally Racing The Moron Test, en su versión 1.6.0 del 13/08/2017, emplea una clave embebida para el cifrado. Los datos almacenados utilizando esta clave pueden ser descifrados por cualquiera que pueda acceder a esta clave.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en UberEATS: Uber for Food Delivery (CVE-2017-13104)
Fecha de publicación:
15/08/2018
Idioma:
Español
La aplicación para iOS UberEATS: Uber for Food Delivery, de Uber Technologies, Inc., en su versión 1.108.10001 del 02/11/2017, emplea una clave embebida para el cifrado. Los datos almacenados utilizando esta clave pueden ser descifrados por cualquiera que pueda acceder a esta clave.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Hi Security Virus Cleaner - Antivirus, Booster (CVE-2017-13105)
Fecha de publicación:
15/08/2018
Idioma:
Español
La aplicación para Android Hi Security Virus Cleaner - Antivirus, Booster, en su versión 3.7.1.1329 del 2017-09-13, acepta todos los certificados SSL durante la comunicación SSL. Esto deja la aplicación expuesta a un ataque Man-in-the-Middle (MitM) que haría que un atacante pueda interceptar y leer todo su tráfico cifrado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco ASR 9000 Series Aggregation Services Router Software (CVE-2018-0418)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en el paquete de características Local Packet Transport Services (LPTS) de Cisco ASR 9000 Series Aggregation Services Router Software podría permitir que un atacante remoto no autenticado cree una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad se debe a la falta de comprobaciones de entradas y validación en cierto tráfico entrante PTP (Precision Time Protocol) en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad inyectando tráfico mal formado en un dispositivo afectado. Si se explota con éxito, podría permitir que el atacante consiga que los servicios del dispositivo se reinicien, provocando una denegación de servicio (DoS). Cisco Bug IDs: CSCvj22858.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/08/2020

Vulnerabilidad en Cisco Email Security Appliances (CVE-2018-0419)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en ciertos mecanismos de detección de adjuntos de Cisco Email Security Appliances (ESA) podría permitir que un atacante remoto no autenticado omita la funcionalidad de filtrado de un sistema afectado. La vulnerabilidad se debe a la detección incorrecta de contenido en archivos ejecutables (EXE). Un atacante podría explotar esta vulnerabilidad mediante el envío de un archivo EXE personalizado que no sea reconocido y bloqueado por ESA. Su explotación con éxito podría permitir que el atacante envíe mensajes de correo electrónico que contienen archivos ejecutables maliciosos a usuarios incautos. Cisco Bug IDs: CSCvh03786.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Digital Network Architecture Center (CVE-2018-0427)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en la API de programación CronJob de Cisco Digital Network Architecture (DNA) Center podría permitir que un atacante remoto autenticado realice un ataque de inyección de comandos. Esta vulnerabilidad se debe a una validación incorrecta de las entradas proporcionadas por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete malicioso. Su explotación con éxito podría permitir que el atacante ejecute comandos arbitrarios con privilegios root. Cisco Bug IDs: CSCvi42263.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/08/2020

Vulnerabilidad en Cisco Web Security Appliance (CVE-2018-0428)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en el subsistema de gestión de cuentas de Cisco Web Security Appliance (WSA) podría permitir que un atacante local autenticado eleve sus privilegios a root. El atacante debe autenticarse con credenciales válidas de administrador. Esta vulnerabilidad se debe a una implementación de controles de acceso incorrecta. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo como un usuario específico para obtener la información que necesita para elevar sus privilegios a root en un shell de inicio de sesión separado. Su explotación con éxito podría permitir que el atacante escape el subshell de la interfaz de línea de comandos y ejecute comandos a nivel de sistema en el sistema operativo subyacente como root. Cisco Bug IDs: CSCvj93548.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Unified Communications Domain Manager Software (CVE-2018-0386)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en Cisco Unified Communications Domain Manager Software podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) en un sistema afectado. Esta vulnerabilidad se debe a la validación incorrecta de entradas pasadas al software afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario del software afectado acceda a una URL maliciosa. Su explotación con éxito podría permitir que el atacante acceda a información sensible del navegador en el sistema afectado o realizar acciones arbitrarias en el software afectado en el contexto de seguridad del usuario. Cisco Bug IDs: CSCvh49694.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en productos Cisco (CVE-2018-0409)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en el servicio XCP Router de Cisco Unified Communications Manager IM Presence Service (CUCM IMP) y Cisco TelePresence Video Communication Server (VCS) y Expressway podría permitir que un atacante remoto no autenticado provoque una caída temporal del servicio para todos los usuarios de IMP, lo que resulta en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a una validación incorrecta de las entradas proporcionadas por el usuario. Un atacante podría explotar esta vulnerabilidad enviando un paquete IPv4 o IPv6 malicioso al dispositivo afectado en el puerto TCP 7400. Su explotación con éxito podría permitir que el atacante sobrelea un búfer, resultando en un cierre inesperado y el reinicio del servicio XCP Router. Cisco Bug IDs: CSCvg97663, CSCvi55947.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/08/2020

Vulnerabilidad en Cisco AsyncOS Software en Cisco Web Security Appliances (CVE-2018-0410)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en la funcionalidad de proxy web de Cisco AsyncOS Software para Cisco Web Security Appliances podría permitir que un atacante remoto no autenticado agote la memoria del sistema y provoque una condición de denegación de servicio (DoS) en un sistema afectado. La vulnerabilidad existe debido a que el software afectado gestiona de forma incorrecta los recursos de memoria para las conexiones TCP en un dispositivo objetivo. Un atacante podría explotar esta vulnerabilidad estableciendo un alto número de conexiones TCP en la interfaz de datos de un dispositivo afectado mediante IPv4 o IPv6. Su explotación con éxito podría permitir que el atacante agote la memoria del sistema, lo que podría provocar que el sistema deje de procesar nuevas conexiones y desemboque en una condición de denegación de servicio (DoS). La recuperación del sistema podría requerir la intervención manual. Cisco Bug IDs: CSCvf36610.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades