Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en spikekill.php en Cacti (CVE-2017-12927)
Fecha de publicación:
18/08/2017
Idioma:
Español
Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Cacti 1.1.17 en el parámetro method en spikekill.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco RV340, RV345, y RV345P Dual WAN Gigabit VPN Routers (CVE-2017-6784)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Cisco RV340, RV345, y RV345P Dual WAN Gigabit VPN Routers podría permitir que un atacante remoto sin autenticar acceda a datos sensibles. El atacante podría utilizar esta información para llevar a cabo ataques de reconocimiento adicionales. La vulnerabilidad se debe a que Cisco WebEx Meetings no protege lo suficiente los datos sensibles cuando responde a una petición HTTP a la interfaz web. Un atacante podría explotar la vulnerabilidad tratando de emplear el protocolo HTTP y mirando los datos en las respuestas HTTP provenientes de Cisco WebEx Meetings Server. Un exploit podría permitir que el atacante encuentre información sensible sobre la aplicación. Cisco Bug IDs: CSCve37988. Versiones afectadas conocidas: firmware 1.0.0.30, 1.0.0.33, 1.0.1.9, 1.0.1.16.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Web Security Appliance (WSA), Email Security Appliance (ESA), y Content Security Management Appliance (SMA) (CVE-2017-6783)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en el sondeo SNMP para Cisco Web Security Appliance (WSA), Email Security Appliance (ESA), y Content Security Management Appliance (SMA) podría permitir que un atacante remoto autenticado descubriese información confidencial sobre los aparatos que solo debería estar disponible para un usuario administrador. La vulnerabilidad ocurre porque los aparatos no protegen la información confidencial en reposo en respuesta a las peticiones de sondeo Simple Network Management Protocol (SNMP). Un atacante podría explotar esta vulnerabilidad haciendo una petición de sondeo SNMP manipulada al aparato de seguridad objetivo. Un exploit podría permitir que el atacante descubra información confidencial que debería estar restringida. El atacante podría utilizar esta información para llevar a cabo reconocimientos adicionales. Para explotar esta vulnerabilidad, el atacante debe conocer la cadena de comunidad SNMP configurada. Cisco Bug IDs: CSCve26106, CSCve26202, CSCve26224. Versiones afectadas conocidas: 10.0.0-230 (Web Security Appliance), 9.7.2-065 (Email Security Appliance), y 10.1.0-037 (Content Security Management Appliance).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Prime Infrastructure (CVE-2017-6782)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz administrativa web de Cisco Prime Infrastructure podría permitir que un usuario remoto autenticado modifique una página en la interfaz web de la aplicación afectada. La vulnerabilidad se debe a una sanitización inadecuada de valores de parámetro por parte de la aplicación afectada. Un atacante podría explotar esta vulnerabilidad inyectando código malicioso en un parámetro afectado y persuadiendo a un usuario para que acceda a una página web que desencadene el renderizado del código inyectado. Cisco Bug IDs: CSCve47074. Versiones afectadas conocidas: 3.2(0.0).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Elastic Services Controller (ESC) en Cisco Ultra Services Platform (CVE-2017-6778)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web Elastic Services Controller (ESC) de Cisco Ultra Platform podría permitir que un atacante remoto autenticado consiga información sensible. La vulnerabilidad se debe a la transmisión de información sensible como parte de una petición GET. Un atacante podría explotar esta vulnerabilidad enviando una petición GET a un dispositivo afectado. Un exploit podría permitir que el atacante vea información relacionada con la implementación de Ultra Services Platform. Cisco Bug IDs: CSCvd76406. Versiones afectadas conocidas: 21.0.v0.65839.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Elastic Services Controller (ESC) (CVE-2017-6776)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en el framework red de Cisco Elastic Services Controller (ESC) podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de tipo Cross-Site Scripting (XSS) contra un usuario de dicha interfaz. La vulnerabilidad se debe a la validación insuficiente de entrada de datos del usuario por parte del software afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que acceda a un enlace malicioso o interceptando una petición de usuario e inyectando código malicioso en la petición. Si se explota esta vulnerabilidad con éxito, el atacante podría ejecutar código de script arbitrario en el contexto del sitio afectado o permitir que el atacante pueda acceder a información sensible del navegador. Cisco Bug IDs: CSCvd76324. Versiones afectadas conocidas: 2.2(9.76) and 2.3(1).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Virtual Network Function (VNF) Element Manager (CVE-2017-6710)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en Cisco Virtual Network Function (VNF) Element Manager podría permitir que un atacante remoto autenticado elevase privilegios y ejecutase comandos en el contexto del usuario root en el servidor. Esta vulnerabilidad se debe a la configuración de comandos que permite a los usuarios de Cisco VNF Element Manager especificar comandos arbitrarios que se ejecutarán como root en el servidor. Un atacante podría emplear esta configuración para elevar privilegios y ejecutar comandos en el contexto del usuario root en el servidor. Cisco Bug IDs: CSCvc76670. Versiones afectadas conocidas: anteriores a la 5.0.4 y 5.1.4
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco StarOS en Cisco ASR 5000 Series Aggregated Services Routers (CVE-2017-6773)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en el CLI de Cisco ASR 5000 Series Aggregated Services Routers ejecutando el sistema operativo Cisco StarOS podría permitir que un atacante local autenticado omita las restricciones de CLI y ejecute comandos en el sistema operativo subyacente. Esta vulnerabilidad se debe a la insuficiente sanitización de las entradas proporcionadas por el usuario en el CLI. Un atacante podría explotar esta vulnerabilidad creando un script en el dispositivo que les permitirá omitir las restricciones incorporadas. Un exploit podría permitir que el usuario sin autorización lance el CLI directamente desde una consola de comandos. Cisco Bug IDs: CSCvd47722. Versiones afectadas conocidas: 21.0.v0.65839.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Elastic Services Controller (ESC) (CVE-2017-6772)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en Cisco Elastic Services Controller (ESC) podría permitir que un atacante remoto autenticado acceda a información sensible. Esta vulnerabilidad se debe a una protección de datos sensibles insuficiente. Un atacante podría explotar esta vulnerabilidad autenticándose en la aplicación y navegando hasta ciertos archivos de configuración. Un exploit podría permitir que el atacante vea archivos de configuración del sistema sensibles. Cisco Bug IDs: CSCvd29408. Versiones afectadas conocidas: 2.3(2).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en ConfD en Cisco Elastic Services Controller (ESC) (CVE-2017-6777)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en el servidor ConfD de Cisco Elastic Services Controller (ESC) podría permitir que un atacante remoto autenticado obtenga información sensible del sistema. Esta vulnerabilidad se debe a una protección de archivos sensibles del sistema insuficiente. Un atacante podría explotar esta vulnerabilidad iniciando sesión en el servidor ConfD y ejecutando ciertos comandos. Un exploit podría permitir que un usuario sin privilegios vea parámetros de configuración que pueden emplearse de forma maliciosa. Cisco Bug IDs: CSCvd76409. Versiones afectadas conocidas: 2.3, 2.3(2).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en AutoVNF en Cisco Ultra Services Framework (CVE-2017-6771)
Fecha de publicación:
17/08/2017
Idioma:
Español
Una vulnerabilidad en la herramienta de automatización AutoVNF de Cisco Ultra Services Framework podría permitir que un atacante remoto sin autenticar consiga información sensible. Esta vulnerabilidad se debe a una protección de datos sensibles insuficiente. Un atacante podría explotar esta vulnerabilidad navegando hasta una URL específica en un dispositivo afectado. Un exploit podría permitir que el atacante acceda a información sensible de configuración sobre la implementación. Cisco Bug IDs: CSCvd29358. Versiones afectadas conocidas: 21.0.v0.65839.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en WebLaunch en Cisco AnyConnect Secure Mobility Client Software (CVE-2017-6788)
Fecha de publicación:
17/08/2017
Idioma:
Español
La funcionalidad WebLaunch de Cisco AnyConnect Secure Mobility Client Software contiene una vulnerabilidad que podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque Cross-Site Scripting (XSS) contra un usuario del software afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de algunos parámetros que se pasan a la función WebLaunch del software afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que entre a un enlace malicioso o interceptando una petición de usuario e inyectando código malicioso en la petición. Cisco Bug IDs: CSCvf12055. Versiones afectadas conocidas: 98.89(40).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades