Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco Prime Service Catalog (CVE-2018-0107)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el framework web de Cisco Prime Service Catalog podría permitir que un atacante remoto no autenticado ejecute acciones no deseadas en un dispositivo afectado. La vulnerabilidad se debe a la ausencia de medidas de protección contra ataques de Cross-Site Request Forgery (CSRF). Un atacante podría explotar esta vulnerabilidad engañando al usuario de una aplicación web para que ejecute una acción adversa. Cisco Bug IDs: CSCvg30313.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2018-0108)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto no autenticado obtenga archivos de clientes mediante una inyección de XEE (XML External Entity) fuera de banda. Un atacante podría explotar esta vulnerabilidad para obtener información y realizar ataques adicionales de reconocimiento. La vulnerabilidad se debe a la capacidad de un atacante para realizar una inyección XEE (XML External Entity) fuera de banda en el sistema, lo que podría permitir que un atacante capture archivos de clientes y los redirija a otra dirección de destino. Esta vulnerabilidad podría permitir que el atacante descubra datos sensibles de clientes. Cisco Bug IDs: CSCvg36996.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2018-0109)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto autenticado acceda a datos sensibles sobre la aplicación. Un atacante podría explotar esta vulnerabilidad para obtener información y realizar ataques de reconocimiento adicionales. La vulnerabilidad se debe a un fallo de diseño en Cisco WebEx Meetings Server que podría permitir que un atacante que está autenticado como root obtenga secretos compartidos. Un atacante podría explotar esta vulnerabilidad accediendo a la cuenta roo y visualizando información sensible. Su explotación exitosa podría permitir que el atacante descubra información sensible sobre la aplicación. Cisco Bug IDs: CSCvg42664.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2018-0110)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto autenticado acceda a la cuenta de soporte remota incluso después de haberla desactivado mediante la aplicación web. La vulnerabilidad se debe a un fallo de diseño en Cisco WebEx Meetings Server, el cual no deshabilitaría el acceso a cuentas de usuario configuradas específicamente, incluso después de que se haya deshabilitado el acceso en la aplicación web. Un atacante podría explotar esta vulnerabilidad conectándose a la cuenta de soporte remoto, incluso después de que se haya deshabilitado a nivel de aplicación web. Su explotación podría permitir que el atacante modifique la configuración del servidor y obtenga acceso a los datos del sistema. Cisco Bug IDs: CSCvg46741.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2018-0111)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto no autenticado acceda a datos sensibles de la aplicación. Un atacante podría explotar esta vulnerabilidad para obtener información y realizar ataques de reconocimiento adicionales. La vulnerabilidad se debe a un fallo de diseño en Cisco WebEx Meetings Server, que podría incluir información interna de la red que debería estar restringida. Un atacante puede explotar esta vulnerabilidad empleando recursos disponibles para estudiar la red del cliente. Un exploit podría permitir que el atacante descubra datos sensibles sobre la aplicación. Cisco Bug IDs: CSCvg46806.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco StarOS para routers Cisco (CVE-2018-0115)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el CLI del sistema operativo Cisco StarOS para routers Cisco ASR 5000 Series podría permitir que un atacante local autenticado ejecute comandos arbitrarios con privilegios root en un sistema operativo del host afectado. Esta vulnerabilidad se debe a una validación insuficiente de las entradas realizadas por el usuario. Un atacante podría explotar esta vulnerabilidad inyectando argumentos de comando maliciosos en una comando de interfaz de línea de comandos vulnerable. Un exploit con éxito podría permitir que el atacante ejecute comandos arbitrarios con privilegios root. Para explotar esta vulnerabilidad, el atacante necesitaría autenticarse en el sistema afectado empleando credenciales de administrador válidas. Cisco Bug IDs: CSCvf93332.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en el framework web de Cisco Small Business Managed Switches (CVE-2017-12308)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el framework web de Cisco Small Business Managed Switches Software podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de separación de respuesta HTTP contra un usuario de dicha interfaz en el sistema afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de algunos parámetros que se pasan al servidor web del sistema afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que acceda a un enlace malicioso o interceptando una petición de usuario e inyectando código malicioso en la petición. Un exploit con éxito podría permitir que el atacante ejecute código script arbitrario en el contexto de la interfaz web afectada o que acceda a información sensible del navegador. Esta vulnerabilidad afecta a los siguientes productos de Cisco Small Business 300 and 500 Series Managed Switches: Cisco 350 Series Managed Switches, Cisco 350X Series Stackable Managed Switches, Cisco 550X Series Stackable Managed Switches, Cisco ESW2 Series Advanced Switches, Cisco Small Business 300 Series Managed Switches y Cisco Small Business 500 Series Stackable Managed Switches. Cisco Bug IDs: CSCvg29980.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2020

Vulnerabilidad en el framework web de Cisco Small Business Managed Switches (CVE-2017-12307)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el framework web de Cisco Small Business Managed Switches Software podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) reflejado contra un usuario de dicha interfaz en el sistema afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de parámetros que se pasan al servidor web del sistema afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que acceda a un enlace malicioso o interceptando e inyectando código en una petición de usuario. Un exploit con éxito podría permitir que el atacante ejecute código script arbitrario en el contexto de la interfaz web afectada o que acceda a información sensible del navegador. Esta vulnerabilidad afecta a los siguientes productos de Cisco Small Business 300 and 500 Series Managed Switches: Cisco Small Business 300 Series Managed Switches, Cisco Small Business 500 Series Stackable Managed Switches, Cisco 350 Series Managed Switches, Cisco 350X Series Stackable Managed Switches, Cisco 550X Series Stackable Managed Switches y Cisco ESW2 Series Advanced Switches. Cisco Bug IDs: CSCvg24637.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2020

Vulnerabilidad en Cisco Unified Customer Voice Portal (CVE-2018-0086)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el servidor de aplicaciones de Cisco Unified Customer Voice Portal (CVP) podría permitir que un atacante remoto sin autenticar provoque una denegación de servicio (DoS) en el dispositivo afectado. La vulnerabilidad se debe al tráfico SIP INVITE mal formado recibido en el CVP durante las comunicaciones con Cisco Virtualized Voice Browser (VVB). Un atacante podría explotar esta vulnerabilidad mediante el envío de un tráfico SIP INVITE mal formado a través del dispositivo objetivo. Su explotación podría permitir que el atacante provoque un impacto en la disponibilidad de los servicios y datos en el dispositivo, causando una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a Cisco Unified CVP que ejecuten cualquier distribución anterior a 11.6(1). Cisco Bug IDs: CSCve85840.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Industrial Ethernet Switches (CVE-2018-0088)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en uno de los comandos CLI de prueba de diagnóstico en Cisco Industrial Ethernet 4010 Series Switches que ejecuten Cisco IOS Software podría permitir que un atacante local autenticado afecte a la estabilidad del dispositivo. Esto podría resultar en una ejecución de código arbitrario o una condición de denegación de servicio (DoS). El atacante necesita tener credenciales de usuario válidas a nivel 15 de privilegios. La vulnerabilidad se debe a un comando CLI de prueba de diagnóstico que permite que el atacante escriba en la memoria del dispositivo. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo objetivo y enviando un comando de prueba de diagnóstico específico a la interfaz de línea de comandos. Su explotación podría permitir que el atacante sobrescriba las ubicaciones de memoria del sistema, lo que podría causar un impacto negativo en la estabilidad del dispositivo. Cisco Bug IDs: CSCvf71150.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Policy Suite (CVE-2018-0089)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en la función PCRF (Policy and Charging Rules Function) de Cisco Policy Suite (CPS) podría permitir que un atacante remoto no autenticado acceda a datos sensibles. El atacante podría utilizar esta información para llevar a cabo ataques de reconocimiento adicionales. El atacante podría también necesitar tener acceso a la VLAN interna donde el CPS está desplegado. La vulnerabilidad se debe a permisos incorrectos de determinados archivos del sistema y a que no se protegen lo suficiente los datos sensibles que están en reposo. Un atacante podría explotar la vulnerabilidad utilizando determinadas herramientas disponibles en la interfaz de red interna para solicitar y visualizar archivos del sistema. Un exploit podría permitir que el atacante descubra información sensible sobre la aplicación. Cisco Bug IDs: CSCvf77666.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco NX-OS System Software (CVE-2018-0090)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en la configuración de la lista de control de acceso (ACL) de la interfaz de administración de Cisco NX-OS System Software podría permitir que un atacante remoto no autenticado omita las ACL configuradas en la interfaz de administración. Esto podría permitir que el tráfico se redirija a la CPU NX-OS para procesamiento, provocando un uso elevado de recursos de la CPU y una condición de denegación de servicio (DoS). La vulnerabilidad se debe a una mala solución en el tren de código 7.3.2 que podría permitir que la interfaz de administración se clasifique de manera incorrecta y no coincida con las listas de control de acceso configuradas correctamente. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico manipulado a través de la interfaz de administración. Su explotación podría permitir que el atacante omita las listas de control de acceso de la interfaz de administración y afectar a la CPU del dispositivo afectado, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a los siguientes productos de Cisco que ejecutan Cisco NX-OS System Software: Multilayer Director Switches, Nexus 2000 Series Switches, Nexus 3000 Series Switches, Nexus 5500 Platform Switches, Nexus 5600 Platform Switches, Nexus 6000 Series Switches, Nexus 7000 Series Switches, Nexus 7700 Series Switches, Nexus 9000 Series Switches en modo NX-OS standalone. Cisco Bug IDs: CSCvf31132.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades