Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Remote Expert Manager Software (CVE-2017-6641)
Fecha de publicación:
22/05/2017
Idioma:
Español
Una vulnerabilidad en la funcionalidad de manejo de la conexión TCP de Remote Expert Manager Software versión 11.0.0 de Cisco, podría permitir a un atacante no autenticado remoto deshabilitar los puertos TCP y causar una condición de denegación de servicio (DoS) en un sistema afectado. La vulnerabilidad es debido a la falta de la funcionalidad de limitación de velocidad en la aplicación TCP Listen del programa afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de un flujo de tráfico TCP en el que se inundan tipos específicos de paquetes TCP a un dispositivo afectado, por ejemplo, un flujo de paquetes TCP en el que el bit FIN de TCP se establece en todos los paquetes TCP. Una explotación con éxito podría permitir al atacante hacer que ciertos puertos de escucha de TCP en el sistema afectado dejen de aceptar conexiones entrantes durante un período de tiempo o hasta que se reinicie el dispositivo afectado, resultando en una condición DoS. Además, los recursos del sistema, como la CPU y la memoria, podrían agotarse durante el ataque. IDs de Bug de Cisco: CSCva29806.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Expert Manager Software de Cisco. (CVE-2017-6642)
Fecha de publicación:
22/05/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Remote Expert Manager Software versión 11.0.0 de Cisco, podría permitir a un atacante no autenticado remoto acceder a información confidencial de un sistema afectado. La vulnerabilidad se presenta porque el programa afectado no protege suficientemente los datos confidenciales cuando responde a peticiones HTTP que se envían hacia la interfaz web del programa. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz web del programa en un sistema afectado. Una explotación con éxito podría permitirle al atacante acceder a información confidencial sobre el programa. El atacante podría usar esta información para conducir ataques de reconocimiento adicionales. IDs de Bug de Cisco: CSCvc52856.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Expert Manager Software de Cisco (CVE-2017-6643)
Fecha de publicación:
22/05/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Remote Expert Manager Software versión 11.0.0 de Cisco, podría permitir a un atacante no autenticado remoto acceder a información confidencial del Directorio Virtual en un sistema afectado. La vulnerabilidad se presenta porque el programa afectado no protege suficientemente los datos confidenciales cuando responde a peticiones HTTP que se envían hacia la interfaz web del programa. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz web del programa en un sistema afectado. Una explotación con éxito podría permitirle al atacante acceder a información confidencial sobre el programa. El atacante podría usar esta información para conducir ataques de reconocimiento adicionales. IDs de Bug de Cisco: CSCvc52858.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Expert Manager Software (CVE-2017-6644)
Fecha de publicación:
22/05/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Remote Expert Manager Software versión 11.0.0 de Cisco, podría permitir a un atacante no autenticado remoto acceder a información confidencial de un sistema afectado. La vulnerabilidad se presenta porque el programa afectado no protege suficientemente los datos confidenciales cuando responde a peticiones HTTP que se envían hacia la interfaz web del programa. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz web del programa en un sistema afectado. Una explotación con éxito podría permitirle al atacante acceder a información confidencial sobre el programa. El atacante podría usar esta información para conducir ataques de reconocimiento adicionales. IDs de Bug de Cisco: CSCvc52860.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Expert Manager Software de Cisco (CVE-2017-6645)
Fecha de publicación:
22/05/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Remote Expert Manager Software de Cisco versión 11.0.0 podría permitir a un atacante no autenticado remoto acceder a información confidencial del Directorio Temporal Virtual en un sistema afectado. La vulnerabilidad se presenta porque el programa afectado no protege suficientemente los datos confidenciales cuando responde a peticiones HTTP que se envían hacia la interfaz web del programa. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz web del programa en un sistema afectado. Una explotación con éxito podría permitirle al atacante acceder a información confidencial sobre el programa. El atacante podría usar esta información para conducir ataques de reconocimiento adicionales. IDs de Bug de Cisco: CSCvc52861.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en emote Expert Manager Software de Cisco (CVE-2017-6646)
Fecha de publicación:
22/05/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Remote Expert Manager Software de Cisco versión 11.0.0, podría permitir a un atacante no autenticado remoto acceder a información confidencial de Pedidos en un sistema afectado. La vulnerabilidad se presenta porque el programa afectado no protege suficientemente los datos confidenciales cuando responde a peticiones HTTP que se envían hacia la interfaz web del programa. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz web del programa en un sistema afectado. Una explotación con éxito podría permitirle al atacante acceder a información confidencial sobre el programa. El atacante podría usar esta información para conducir ataques de reconocimiento adicionales. IDs de Bug de Cisco: CSCvc52866 CSCvc52868.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Expert Manager Software de Cisco (CVE-2017-6647)
Fecha de publicación:
22/05/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Remote Expert Manager Software de Cisco versión 11.0.0, podría permitir a un atacante no autenticado remoto acceder a información confidencial de archivos temporales en un sistema afectado. La vulnerabilidad se presenta porque el programa afectado no protege suficientemente los datos confidenciales cuando responde a peticiones HTTP que se envían hacia la interfaz web del programa. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia la interfaz web del programa en un sistema afectado. Una explotación con éxito podría permitirle al atacante acceder a información confidencial sobre el programa. El atacante podría usar esta información para conducir ataques de reconocimiento adicionales. IDs de Bug de Cisco: CSCvc52875.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en routers Tenda (CVE-2017-9138)
Fecha de publicación:
21/05/2017
Idioma:
Español
Hay una vulnerabilidad de la interfaz de depuración en algunos routers Tenda (FH1202/F1202/F1200: versiones anteriores a 1.2.0.20). Después de conectarse localmente a un router de una manera cableada o inalámbrica, uno puede omitir las restricciones de acceso previstas mediante el envío de comandos de shell directamente y leyendo sus resultados, o por el ingreso de comandos de shell que cambian el nombre de usuario y contraseña de este router.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en routers Tenda (CVE-2017-9139)
Fecha de publicación:
21/05/2017
Idioma:
Español
Hay desbordamiento de búfer en la región stack de la memoria en algunos routers Tenda (FH1202/F1202/F1200: versiones anteriores a 1.2.0.20). Las peticiones POST diseñadas a una dirección URL no especificada dan como resultado una DoS, interrumpiendo el servicio HTTP (utilizado para iniciar sesión en la interfaz de usuario web de un enrutador) durante 1 a 2 segundos.
Gravedad CVSS v3.1: BAJA
Última modificación:
20/04/2025

Vulnerabilidad en Mimosa Client Radios y Mimosa Backhaul Radios (CVE-2017-9131)
Fecha de publicación:
21/05/2017
Idioma:
Español
Un problema fue descubierto en Mimosa Client Radios anterior a versión 2.2.3 y Mimosa Backhaul Radios anterior a versión 2.2.3. Mediante la conexión al broker Mosquitto sobre un punto de acceso y uno de sus clientes, un atacante puede recopilar suficiente información para diseñar un comando que reinicia el cliente remotamente cuando se envía al broker mosquitto del cliente, también se conoce como "unauthenticated remote command execution". Este comando se puede volver a enviar indefinidamente para actuar como un ataque de DoS en el cliente.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Mimosa Client Radios (CVE-2017-9132)
Fecha de publicación:
21/05/2017
Idioma:
Español
Se detectó un problema de credenciales embebidas en Mimosa Client Radios anterior a versión 2.2.3, Mimosa Backhaul Radios anterior a versión 2.2.3, y Mimosa Access Points anterior a versión 2.2.3. Estos dispositivos ejecutan Mosquitto, un broker de mensajes de poco peso, para enviar información entre dispositivos. mediante el uso de las credenciales embebidas del proveedor para conectarse al broker en cualquier dispositivo (ya sea un modelo AP, Cliente o Backhaul), un atacante puede visualizar todos los mensajes que se envían entre los dispositivos. Si un atacante conecta con un AP, el AP filtrará la información sobre cualquier cliente conectado con él, incluyendo los números de serial, que puede ser usado para resetear de fábrica remotamente a los clientes por medio de una página en su interfaz Web.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Mimosa Client Radios y Mimosa Backhaul Radios (CVE-2017-9134)
Fecha de publicación:
21/05/2017
Idioma:
Español
Se detectó un problema de filtrado de información en Mimosa Client Radios anterior a versión 2.2.3 y Mimosa Backhaul Radios anterior a versión 2.2.3. Existe una página en la interfaz web que le mostrará el número de serial del dispositivo, independientemente de si ha iniciado sesión o no. Este problema de filtrado de información es relevante porque hay otra página (accesible sin ninguna autenticación) que le permite restablecer remotamente el dispositivo de fábrica simplemente mediante el ingreso del número de serie.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades