Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco Application Policy Infrastructure Controller (APIC) (CVE-2017-6768)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en el procedimiento de construcción para ciertos archivos del sistema ejecutables instalados en el tiempo de arranque en dispositivos Cisco Application Policy Infrastructure Controller (APIC) podría permitir que un atacante local autenticado obtuviese privilegios de nivel root. Esta vulnerabilidad se debe a un archivo del sistema ejecutable personalizado que ha sido construido para usar rutas de búsqueda relativas para librerías sin validar correctamente la librería que se va a cargar. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo y cargando una librería maliciosa que puede escalar el nivel de privilegios. Un exploit exitoso podría permitir que el atacante obtenga privilegios de nivel root y obtenga el control total del dispositivo. El atacante debe tener credenciales de usuario válidas para poder iniciar sesión en el dispositivo. Cisco Bug IDs: CSCvc96087. Versiones afectadas conocidas: 1.1(0.920a), 1.1(1j), 1.1(3f); 1.2 Base, 1.2(2), 1.2(3), 1.2.2; 1.3(1), 1.3(2), 1.3(2f); 2.0 Base, 2.0(1).
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco ASR 5000 Series Aggregated Services Routers en Cisco StarOS (CVE-2017-6774)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en Cisco ASR 5000 Series Aggregated Services Routers ejecutando el sistema operativo Cisco StarOS podría permitir que un atacante remoto autenticado sobrescriba o modifique archivos del sistema sensibles. Esta vulnerabilidad se debe a la inclusión de archivos sensibles del sistema en subdirectorios FTP específicos. Un atacante podría explotar esta vulnerabilidad sobrescribiendo archivos de configuración sensibles mediante FTP. Un exploit podría permitir que un atacante sobrescribiese archivos de configuración en un sistema afectado. Cisco Bug IDs: CSCvd47739. Versiones afectadas conocidas: 21.0.v0.65839.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco StarOS en Cisco ASR 5000 Series Aggregated Services Routers (CVE-2017-6775)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en el CLI de Cisco ASR 5000 Series Aggregated Services Routers ejecutando el sistema operativo Cisco StarOS podría permitir que un atacante local autenticado eleve sus privilegios hasta el nivel de administrador. Esta vulnerabilidad se debe a permisos incorrectos que son entregados a un conjunto de usuarios. Un atacante podría explotar esta vulnerabilidad iniciando sesión en la shell de un dispositivo afectado y elevando sus privilegios modificando variables de entorno. Un exploit podría permitir que el atacante obtenga privilegios de nivel administrativo y obtenga el control del dispositivo afectado. Cisco Bug IDs: CSCvd47741. Versiones afectadas conocidas: 21.0.v0.65839.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Policy Suite (CPS) Software (CVE-2017-6781)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en la gestión de cuentas de usuario shell para Cisco Policy Suite (CPS) Software para aparatos CPS podría permitir que un atacante local autenticado gane privilegios elevados en un sistema afectado. El nivel de privilegios afectado no está a nivel root. La vulnerabilidad se debe a un control de acceso basado en roles o RBAC (role-based access control) incorrecto para cuentas de usuario shell. Un atacante podría explotar esta vulnerabilidad autenticándose en un aparato afectado y proporcionando entradas de usuario manipuladas mediante el CLI. Un exploit exitoso podría permitir que el atacante adquiera un mayor nivel de privilegios que el que tendría que tener. Para explotar esta vulnerabilidad, el atacante debe iniciar sesión en el aparato con credenciales válidas. Cisco Bug IDs: CSCve37724. Versiones afectadas conocidas: 9.0.0, 9.1.0, 10.0.0, 11.0.0, 12.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Session Initiation Protocol (SIP) en Cisco TelePresence Video Communication Server (VCS) (CVE-2017-6790)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en Session Initiation Protocol (SIP) de Cisco TelePresence Video Communication Server (VCS) podría permitir que un atacante remoto sin autenticar provoque una denegación de servicio (DoS) en un aparato objetivo. La vulnerabilidad se debe a que se envía al dispositivo una cantidad excesiva de tráfico SIP. Un atacante podría explotar esta vulnerabilidad transmitiendo grandes volúmenes de tráfico SIP al VCS. Un exploit podría permitir que un atacante provoque un DoS total en el sistema objetivo. Cisco Bug IDs: CSCve32897.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Augeas (CVE-2017-7555)
Fecha de publicación:
17/08/2017
Idioma:
Español
Augeas en sus versiones hasta la 1.8.0 (esta incluida) es vulnerable a un desbordamiento de búfer basado en memoria dinámica debido a una gestión indebida de strings escapados. Un atacante podría enviar strings manipulados que harían que la aplicación que emplea Augeas copie y pegue el final de un búfer, provocando un bloqueo o una posible ejecución de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en Hawtio (CVE-2017-7556)
Fecha de publicación:
17/08/2017
Idioma:
Español
Hawtio en sus versiones hasta la 1.5.3 (esta incluida) es vulnerable a una vulnerabilidad CSRF que permite que atacantes remotos engañen al usuario para que visite su sitio web, que contiene un script malicioso que puede ser enviado al servidor de Hawtio en nombre del usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en open build service en openSUSE (CVE-2011-0469)
Fecha de publicación:
17/08/2017
Idioma:
Español
Existe inyección de código en openSUSE al ejecutar algunos servicios de origen empleados en open build service 2.1 anterior al 11 de marzo de 2011.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en row_is_empty en minidjvu (CVE-2017-12441)
Fecha de publicación:
17/08/2017
Idioma:
Español
La función row_is_empty en base/4bitmap.c:274 en minidjvu 0.8 puede provocar una denegación de servicio (lectura de memoria no válida y bloqueo de aplicación) mediante un archivo djvu manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en row_is_empty en minidjvu (CVE-2017-12442)
Fecha de publicación:
17/08/2017
Idioma:
Español
La función row_is_empty en base/4bitmap.c:272 en minidjvu 0.8 row_is_empty en minidjvurow_is_empty puede provocar una denegación de servicio (lectura de memoria no válida y bloqueo de aplicación) mediante un archivo djvu manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en mdjvu_bitmap_pack_row en minidjvu (CVE-2017-12443)
Fecha de publicación:
17/08/2017
Idioma:
Español
La función mdjvu_bitmap_pack_row en base/4bitmap.c en minidjvu 0.8 puede provocar una denegación de servicio (lectura de memoria no válida y bloqueo de aplicación) mediante un archivo djvu manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en mdjvu_bitmap_get_bounding_box en minidjvu (CVE-2017-12444)
Fecha de publicación:
17/08/2017
Idioma:
Español
La función mdjvu_bitmap_get_bounding_box en base/4bitmap.c en minidjvu 0.8 puede provocar una denegación de servicio (lectura de memoria no válida y bloqueo de aplicación) mediante un archivo djvu manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades