Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenText Documentum Content Server (CVE-2017-7220)

Fecha de publicación:
21/04/2017
Idioma:
Español
OpenText Documentum Content Server permite el acceso de superusuario a través de sys_obj_save o guardar un objeto manipulado, seguido de un comando "UPDATE dm_dbo.dm_user_s SET user_privileges=16" no autorizado, vulnerabilidad también conocida como un ataque "RPC save-commands". NOTA: esta vulnerabilidad existe debido a una corrección incompleta para CVE-2015-4532.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en Palo Alto Networks PAN-OS (CVE-2017-7409)

Fecha de publicación:
21/04/2017
Idioma:
Español
Palo Alto Networks PAN-OS en la versiones anteriores a 7.0.15 tiene XSS en la interfaz externa de GlobalProtect a través de parámetros de solicitud manipulada, vulnerabilidad también conocida como PAN-SA-2017-0011 y PAN-70674.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en WonderCMS (CVE-2017-7951)

Fecha de publicación:
21/04/2017
Idioma:
Español
WonderCMS en versiones anteriores a 2.0.3 tiene CSRF debido a la falta de un token en un contexto no especificado.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en Reporting Module 1.12.0 para OpenMRS (CVE-2017-7990)

Fecha de publicación:
21/04/2017
Idioma:
Español
El Reporting Module 1.12.0 para OpenMRS permite ataques CSRF con XSS resultante, en la cual la autenticación administrativa es secuestrada para insertar JavaScript en un campo de nombre en webapp/reports/manageReports.jsp.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en Pragmatic General Multicast (PGM) (CVE-2016-6368)

Fecha de publicación:
20/04/2017
Idioma:
Español
Una vulnerabilidad en el análisis del motor de detección de los paquetes de protocolo Pragmatic General Multicast (PGM) para Cisco Firepower System Software podría permitir a un atacante remoto no autenticado, provocar una condición de denegación de servicio (DoS) debido a que el proceso de Snort se reinicia inesperadamente. La vulnerabilidad se debe a una validación incorrecta de entrada de los campos en el paquete de protocolo PGM. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete PGM manipulado para el motor de detección en el dispositivo de destino. Un exploit podría permitir que el atacante provocara una condición DoS si el proceso de Snort se reinicia y se anula la inspección de tráfico o se baja el tráfico. Esta vulnerabilidad afecta a Cisco Firepower System Software que tiene configuradas una o más políticas de acción de archivo y se ejecuta en cualquiera de los siguientes productos de Cisco: Adaptive Security Appliance (ASA) 5500-X Series con FirePOWER Services; Adaptive Security Appliance (ASA) 5500-X Series Next-Generation Firewalls; Advanced Malware Protection (AMP) para Networks, 7000 Series Appliances; Advanced Malware Protection (AMP) para Networks, 8000 Series Appliances; Firepower 4100 Series Security Appliances; FirePOWER 7000 Series Appliances; FirePOWER 8000 Series Appliances; Firepower 9300 Series Security Appliances; FirePOWER Threat Defense para Integrated Services Routers (ISRs); Industrial Security Appliance 3000; Sourcefire 3D System Appliances; Virtual Next-Generation Intrusion Prevention System (NGIPSv) para VMware. Versiones fijas: 5.4.0.10 5.4.1.9 6.0.1.3 6.1.0 6.2.0. Cisco Bug IDs: CSCuz00876.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en el código DNS de Cisco ASA Software (CVE-2017-6607)

Fecha de publicación:
20/04/2017
Idioma:
Español
Una vulnerabilidad en el código DNS de Cisco ASA Software podría permitir a un atacante remoto no autenticado hacer que un dispositivo afectado recargue o corrompa la información presente en la caché DNS local del dispositivo. La vulnerabilidad se debe a una falla en el manejo de los mensajes de respuesta DNS. Un atacante podría explotar esta vulnerabilidad al activar una solicitud DNS desde el software Cisco ASA y responder con una respuesta diseñada. Una explotación exitosa podría provocar que el dispositivo se volviera a cargar, dando como resultado una denegación de servicio (DoS) o corrupción de la información de caché DNS local. Nota: Sólo se puede utilizar el tráfico dirigido al dispositivo afectado para explotar esta vulnerabilidad. Esta vulnerabilidad afecta al software Cisco ASA configurado en modo de firewall enrutado o transparente y en modo de contexto único o múltiple. Esta vulnerabilidad puede ser provocada por el tráfico IPv4 e IPv6. Esta vulnerabilidad afecta al Cisco ASA Software que se ejecuta en los siguientes productos: Cisco ASA 1000V Cloud Firewall, Cisco ASA 5500 Series Adaptive Security Appliances, Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers, Cisco Adaptive Security Virtual Appliance (ASAv), Cisco Firepower 9300 ASA Security Module, Cisco ISA 3000 Industrial Security Appliance. Versiones fijas: 9.1(7.12) 9.2(4.18) 9.4(3.12) 9.5(3.2) 9.6(2.2). Cisco Bug IDs: CSCvb40898.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en los códigos Secure Sockets Layer (SSL) y Transport Layer Security (TLS) (CVE-2017-6608)

Fecha de publicación:
20/04/2017
Idioma:
Español
Una vulnerabilidad en los códigos Secure Sockets Layer (SSL) y Transport Layer Security (TLS) de Cisco ASA Software podría permitir a un atacante remoto no autenticado provocar una recarga del sistema afectado. La vulnerabilidad se debe a un análisis incorrecto de los paquetes SSL o TLS manipulados. Un atacante podría explotar esta vulnerabilidad enviando un paquete manipulado al sistema afectado. Nota: Sólo se puede utilizar el tráfico dirigido al sistema afectado para explotar esta vulnerabilidad. Esta vulnerabilidad afecta a los sistemas configurados en modo de firewall enrutado y transparente y en modo de contexto único o múltiple. Esta vulnerabilidad puede ser provocada por el tráfico IPv4 e IPv6. Se necesita una sesión SSL o TLS válida para aprovechar esta vulnerabilidad. Esta vulnerabilidad afecta al Cisco ASA Software que se ejecuta en los siguientes productos: Cisco ASA 1000V Cloud Firewall, Cisco ASA 5500 Series Adaptive Security Appliances, Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers, Cisco Adaptive Security Virtual Appliance (ASAv), Cisco Firepower 9300 ASA Security Module, Cisco ISA 3000 Industrial Security Appliance. Versiones fijadas: 8.4(7.31) 9.0(4.39) 9.1(7) 9.2(4.6) 9.3(3.8) 9.4(2) 9.5(2). Cisco Bug IDs: CSCuv48243.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en el código IPsec de Cisco ASA Software (CVE-2017-6609)

Fecha de publicación:
20/04/2017
Idioma:
Español
Una vulnerabilidad en el código IPsec de Cisco ASA Software podría permitir a un atacante remoto autenticado provocar una recarga del sistema afectado. La vulnerabilidad se debe al análisis incorrecto de paquetes IPsec malformados. Un atacante podría explotar esta vulnerabilidad enviando paquetes IPsec malformados al sistema afectado. Nota: Sólo se puede utilizar el tráfico dirigido al sistema afectado para explotar esta vulnerabilidad. Esta vulnerabilidad afecta a los sistemas configurados sólo en el modo enrutado de firewall y en modo de contexto único o múltiple. Esta vulnerabilidad puede ser provocada por el tráfico IPv4 e IPv6. Un atacante necesita establecer un túnel IPsec válido antes de explotar esta vulnerabilidad. Esta vulnerabilidad afecta al software Cisco ASA que se ejecuta en los siguientes productos: Cisco ASA 1000V Cloud Firewall, Cisco ASA 5500 Series Adaptive Security Appliances, Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers, Cisco Adaptive Security Virtual Appliance (ASAv), Cisco Firepower 9300 ASA Security Module, Cisco ISA 3000 Industrial Security Appliance. Versiones fijadas: 9.1(7.8) 9.2(4.15) 9.4(4) 9.5(3.2) 9.6(2). Cisco Bug IDs: CSCun16158.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en el código XAUTH de Cisco ASA Software (CVE-2017-6610)

Fecha de publicación:
20/04/2017
Idioma:
Español
Una vulnerabilidad en el código de Internet Key Exchange Version 1 (IKEv1) XAUTH de Cisco ASA Software podría permitir a un atacante remoto autenticado provocar una recarga de un sistema afectado. La vulnerabilidad se debe a una validación insuficiente de los parámetros IKEv1 XAUTH aprobados durante una negociación IKEv1. Un atacante podría explotar esta vulnerabilidad enviando parámetros manipulados. Nota: Sólo se puede utilizar el tráfico dirigido al sistema afectado para explotar esta vulnerabilidad. Esta vulnerabilidad sólo afecta a los sistemas configurados en el modo de firewall enrutado y en modo de contexto único o múltiple. Esta vulnerabilidad puede ser desencadenada por el tráfico IPv4 o IPv6. Se necesita establecer una IKEv1 Phase 1 válida para explotar esta vulnerabilidad, lo que significa que un atacante necesitaría tener conocimiento de una clave precompartida o tener un certificado válido para la autenticación de fase 1. Esta vulnerabilidad afecta al software Cisco ASA que se ejecuta en los siguientes productos: Cisco ASA 1000V Cloud Firewall, Cisco ASA 5500 Series Adaptive Security Appliances, Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers, Cisco Adaptive Security Virtual Appliance (ASAv), Cisco ASA for Firepower 9300 Series, Cisco ISA 3000 Industrial Security Appliance. Versiones fijas: 9.1(7.7) 9.2(4.11) 9.4(4) 9.5(3) 9.6(1.5). Cisco Bug IDs: CSCuz11685.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en el código de framework web de Cisco Prime Infrastructure (CVE-2017-6611)

Fecha de publicación:
20/04/2017
Idioma:
Español
Una vulnerabilidad en el código de framework web de Cisco Prime Infrastructure 2.2 (2) podría permitir que un atacante remoto no autenticado lleve a cabo un ataque XSS contra el usuario de la interfaz web del sistema afectado. La vulnerabilidad se debe a la insuficiente validación de entrada de algunos parámetros pasados al servidor web. Un atacante podría explotar esta vulnerabilidad convenciendo al usuario para que acceda a un enlace malicioso o intercepte la solicitud del usuario e inyecte el código malicioso. Un exploit podría permitir al atacante ejecutar código de secuencias de comando arbitrario en el contexto del sitio afectado o permitir al atacante acceder a información sensible basada en navegador. Cisco Bug IDs: CSCuw65830.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en el procesador de paquetes de entrada de DNS para Cisco Prime Network Registrar (CVE-2017-6613)

Fecha de publicación:
20/04/2017
Idioma:
Español
Una vulnerabilidad en el procesador de paquetes de entrada de DNS para Cisco Prime Network Registrar podría permitir que un atacante remoto no autenticado haga que el proceso DNS se reinicie momentáneamente, lo que podría provocar una denegación parcial de servicio en el sistema afectado. La vulnerabilidad se debe a la validación incompleta del encabezado del paquete DNS cuando el paquete es recibido por la aplicación. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete DNS malformado a la aplicación. Un exploit podría permitir al atacante provocar el reinicio del proceso DNS, lo que podría llevar a una condición DoS. Esta vulnerabilidad afecta a Cisco Prime Network Registrar en todas las versiones de software anteriores a 8.3.5. Cisco Bug IDs: CSCvb55412.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en Cisco FindIT Network Probe Software (CVE-2017-6614)

Fecha de publicación:
20/04/2017
Idioma:
Español
Una vulnerabilidad en la característica de descarga de archivos de la interfaz de usuario web de Cisco FindIT Network Probe Software 1.0.0 podría permitir a un atacante remoto autenticado descargar y ver cualquier archivo del sistema utilizando el software afectado. La vulnerabilidad se debe a la ausencia de control de acceso basado en roles (RBAC) para las solicitudes de descarga de archivos que se envían al software afectado. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada al software afectado. Una explotación exitosa podría permitir al atacante descargar y ver cualquier archivo del sistema utilizando el software afectado. Cisco Bug IDs: CSCvd11628.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026