Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco IOS XE (CVE-2024-20316)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en los servicios de interfaz de modelo de datos (DMI) del software Cisco IOS XE podría permitir que un atacante remoto no autenticado acceda a recursos que deberían haber estado protegidos por una lista de control de acceso (ACL) IPv4 configurada. Esta vulnerabilidad se debe al manejo inadecuado de las condiciones de error cuando un administrador de dispositivo autorizado exitosamente actualiza una ACL IPv4 usando el protocolo NETCONF o RESTCONF, y la actualización reordenaría las entradas de control de acceso (ACE) en la ACL actualizada. Un atacante podría aprovechar esta vulnerabilidad accediendo a recursos que deberían haber estado protegidos en un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2024

Vulnerabilidad en Cisco IOS XE (CVE-2024-20324)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en la CLI del software Cisco IOS XE podría permitir que un atacante local autenticado y con pocos privilegios acceda a los detalles de configuración de WLAN, incluidas las contraseñas. Esta vulnerabilidad se debe a comprobaciones de privilegios inadecuadas. Un atacante podría aprovechar esta vulnerabilidad utilizando los comandos show y show tech wireless CLI para acceder a los detalles de configuración, incluidas las contraseñas. Un exploit exitoso podría permitir al atacante acceder a detalles de configuración a los que no está autorizado a acceder.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2024

Vulnerabilidad en Cisco Aironet Access Point (CVE-2024-20354)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en el manejo de tramas inalámbricas cifradas del software Cisco Aironet Access Point (AP) podría permitir que un atacante adyacente no autenticado cause una condición de denegación de servicio (DoS) en el dispositivo afectado. Esta vulnerabilidad se debe a una limpieza incompleta de recursos al eliminar ciertos marcos con formato incorrecto. Un atacante podría aprovechar esta vulnerabilidad conectándose como cliente inalámbrico a un AP afectado y enviando tramas específicas con formato incorrecto a través de la conexión inalámbrica. Un exploit exitoso podría permitir que el atacante cause una degradación del servicio a otros clientes, lo que potencialmente podría conducir a una condición DoS completa.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2024

Vulnerabilidad en Elasticsearch (CVE-2024-23450)

Fecha de publicación:
27/03/2024
Idioma:
Español
Se descubrió una falla en Elasticsearch, donde el procesamiento de un documento en una canalización profundamente anidada en un nodo de ingesta podría provocar que el nodo Elasticsearch fallara.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

Vulnerabilidad en Cisco Catalyst Center (CVE-2024-20333)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Catalyst Center, anteriormente Cisco DNA Center, podría permitir que un atacante remoto autenticado cambie datos específicos dentro de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una aplicación insuficiente de la autorización. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante cambiar un campo específico dentro de la interfaz de administración basada en web, aunque no debería tener acceso para cambiar ese campo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/07/2025

Vulnerabilidad en Cisco IOS XE (CVE-2024-20306)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en la CLI de configuración de Unified Threat Defense (UTD) del software Cisco IOS XE podría permitir que un atacante local autenticado ejecute comandos arbitrarios como root en el sistema operativo host subyacente. Para aprovechar esta vulnerabilidad, un atacante debe tener privilegios de nivel 15 en el dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada insuficiente. Un atacante podría aprovechar esta vulnerabilidad enviando un comando CLI manipulado a un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios como root en el sistema operativo subyacente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2024

Vulnerabilidad en Cisco IOS XE (CVE-2024-20309)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en las funciones del puerto asíncrono auxiliar (AUX) del software Cisco IOS XE podría permitir que un atacante local autenticado provoque que un dispositivo afectado se recargue o deje de responder. Esta vulnerabilidad se debe al manejo incorrecto del tráfico de entrada específico cuando el hardware de control de flujo está habilitado en el puerto AUX. Un atacante podría aprovechar esta vulnerabilidad realizando telnet inverso al puerto AUX y enviando datos específicos después de conectarse. Un exploit exitoso podría permitir que el atacante haga que el dispositivo se reinicie o deje de responder, lo que resultaría en una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2024

Vulnerabilidad en Cisco IOS y Cisco IOS XE (CVE-2024-20311)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en la función del Protocolo de separación de ID del localizador (LISP) del software Cisco IOS y del software Cisco IOS XE podría permitir que un atacante remoto no autenticado provoque la recarga de un dispositivo afectado. Esta vulnerabilidad se debe al manejo incorrecto de los paquetes LISP. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete LISP manipulado a un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo se recargue, lo que resultaría en una condición de denegación de servicio (DoS). Nota: Esta vulnerabilidad podría explotarse mediante transporte IPv4 o IPv6.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2024

Vulnerabilidad en Cisco IOS XE (CVE-2024-20314)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en la función de nodo de borde de la estructura de acceso definido por software (SD-Access) IPv4 del software Cisco IOS XE podría permitir que un atacante remoto no autenticado cause una alta utilización de la CPU y detenga todo el procesamiento del tráfico, lo que resultaría en una denegación de servicio (DoS). condición en un dispositivo afectado. Esta vulnerabilidad se debe al manejo inadecuado de ciertos paquetes IPv4. Un atacante podría aprovechar esta vulnerabilidad enviando ciertos paquetes IPv4 a un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo agote los recursos de la CPU y deje de procesar el tráfico, lo que resultaría en una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2024

Vulnerabilidad en Cisco IOS y Cisco IOS XE (CVE-2024-20312)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en el protocolo de sistema intermedio a sistema intermedio (IS-IS) del software Cisco IOS y del software Cisco IOS XE podría permitir que un atacante adyacente no autenticado cause una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada insuficiente al analizar un paquete IS-IS de ingreso. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete IS-IS manipulado a un dispositivo afectado después de formar una adyacencia. Un exploit exitoso podría permitir al atacante hacer que el dispositivo afectado se recargue, lo que resultaría en una condición de denegación de servicio (DoS). Nota: El protocolo IS-IS es un protocolo de enrutamiento. Para aprovechar esta vulnerabilidad, un atacante debe estar en la Capa 2 adyacente al dispositivo afectado y haber formado una adyacencia.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2025

Vulnerabilidad en Cisco Access Point (CVE-2024-20265)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en el proceso de arranque del software Cisco Access Point (AP) podría permitir que un atacante físico no autenticado omita la funcionalidad de arranque seguro de Cisco y cargue una imagen de software que ha sido manipulada en un dispositivo afectado. Esta vulnerabilidad existe porque hay comandos innecesarios disponibles durante el tiempo de arranque en la consola física. Un atacante podría aprovechar esta vulnerabilidad interrumpiendo el proceso de arranque y ejecutando comandos específicos para eludir las comprobaciones de validación de arranque seguro de Cisco y cargar una imagen que ha sido manipulada. Esta imagen se habría descargado previamente en el dispositivo de destino. Un exploit exitoso podría permitir al atacante cargar la imagen una vez. La funcionalidad Cisco Secure Boot no se ve comprometida permanentemente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2024

Vulnerabilidad en Cisco Access Point (CVE-2024-20271)

Fecha de publicación:
27/03/2024
Idioma:
Español
Una vulnerabilidad en el procesamiento de paquetes IP del software Cisco Access Point (AP) podría permitir que un atacante remoto no autenticado cause una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada insuficiente de ciertos paquetes IPv4. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete IPv4 manipulado hacia o a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que un dispositivo afectado se recargue inesperadamente, lo que resultaría en una condición DoS. Para explotar con éxito esta vulnerabilidad, no es necesario que el atacante esté asociado con el AP afectado. Esta vulnerabilidad no se puede aprovechar enviando paquetes IPv6.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2024