Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco IND (CVE-2023-20039)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en Cisco IND podría permitir que un atacante local autenticado lea datos de la aplicación. Esta vulnerabilidad se debe a que los permisos de archivo predeterminados que se aplican al directorio de datos de la aplicación son insuficientes. Un atacante podría aprovechar esta vulnerabilidad accediendo a los archivos del directorio de datos de la aplicación. Si lo hiciera, podría permitirle ver información confidencial. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/08/2025

Vulnerabilidad en Cisco Prime Collaboration Deployment (CVE-2023-20060)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Collaboration Deployment podría permitir que un atacante remoto no autenticado realice un ataque de cross site scripting contra un usuario de la interfaz. Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida correctamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un vínculo creado. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Cisco planea lanzar actualizaciones de software que solucionen esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/08/2025

Vulnerabilidad en Cisco TelePresence CE y RoomOS (CVE-2023-20090)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en Cisco TelePresence CE y RoomOS podría permitir que un atacante local autenticado eleve los privilegios a superusuario en un dispositivo afectado. Esta vulnerabilidad se debe a un control de acceso inadecuado en determinados comandos de la CLI. Un atacante podría aprovechar esta vulnerabilidad ejecutando una serie de comandos manipulados. Una explotación exitosa podría permitir al atacante elevar los privilegios a superusuario. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2025

Vulnerabilidad en Cisco TelePresence CE y RoomOS (CVE-2023-20091)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco TelePresence CE y RoomOS podría permitir que un atacante local autenticado sobrescribiera archivos arbitrarios en el sistema de archivos local de un dispositivo afectado. Esta vulnerabilidad se debe a controles de acceso inadecuados en los archivos que se encuentran en el sistema de archivos local. Un atacante podría aprovechar esta vulnerabilidad colocando un enlace simbólico en una ubicación específica en el sistema de archivos local de un dispositivo afectado. Una explotación exitosa podría permitir al atacante sobrescribir archivos arbitrarios en el dispositivo afectado. Para aprovechar esta vulnerabilidad, un atacante necesitaría tener una cuenta de usuario de soporte remoto. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2025

Vulnerabilidad en Cisco TelePresence CE y RoomOS (CVE-2023-20092)
Fecha de publicación:
15/11/2024
Idioma:
Español
Tres vulnerabilidades en la CLI de Cisco TelePresence CE y RoomOS podrían permitir que un atacante local autenticado sobrescriba archivos arbitrarios en el sistema de archivos local de un dispositivo afectado. Estas vulnerabilidades se deben a controles de acceso inadecuados en los archivos que se encuentran en el sistema de archivos local. Un atacante podría explotar estas vulnerabilidades colocando un enlace simbólico en una ubicación específica en el sistema de archivos local de un dispositivo afectado. Una explotación exitosa podría permitir al atacante sobrescribir archivos arbitrarios en el dispositivo afectado. Para explotar estas vulnerabilidades, un atacante necesitaría tener una cuenta de usuario de soporte remoto. Nota: CVE-2023-20092 no afecta a los dispositivos Cisco DX70, DX80, TelePresence MX Series o TelePresence SX Series. Cisco ha publicado actualizaciones de software que solucionan estas vulnerabilidades. No existen workarounds que solucionen estas vulnerabilidades.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2025

Vulnerabilidad en Cisco Smart Software Manager On-Prem (CVE-2022-20939)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Smart Software Manager On-Prem podría permitir que un atacante remoto autenticado eleve los privilegios en un sistema afectado. Esta vulnerabilidad se debe a una protección inadecuada de la información confidencial del usuario. Un atacante podría aprovechar esta vulnerabilidad accediendo a determinados registros de un sistema afectado. Una explotación exitosa podría permitir que el atacante use la información obtenida para elevar los privilegios a Administrador del sistema. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/07/2025

Vulnerabilidad en Cisco BroadWorks Hosted Thin Receptionist (CVE-2022-20948)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración web de Cisco BroadWorks Hosted Thin Receptionist podría permitir que un atacante remoto autenticado realice un ataque de cross site scripting (XSS) contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la entrada de usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un vínculo creado. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/11/2024

Vulnerabilidad en Cisco TelePresence CE y RoomOS (CVE-2023-20004)
Fecha de publicación:
15/11/2024
Idioma:
Español
Tres vulnerabilidades en la CLI de Cisco TelePresence CE y RoomOS podrían permitir que un atacante local autenticado sobrescriba archivos arbitrarios en el sistema de archivos local de un dispositivo afectado. Estas vulnerabilidades se deben a controles de acceso inadecuados en los archivos que se encuentran en el sistema de archivos local. Un atacante podría explotar estas vulnerabilidades colocando un enlace simbólico en una ubicación específica en el sistema de archivos local de un dispositivo afectado. Una explotación exitosa podría permitir al atacante sobrescribir archivos arbitrarios en el dispositivo afectado. Para explotar estas vulnerabilidades, un atacante necesitaría tener una cuenta de usuario de soporte remoto. Nota: CVE-2023-20092 no afecta a los dispositivos Cisco DX70, DX80, TelePresence MX Series o TelePresence SX Series. Cisco ha publicado actualizaciones de software que solucionan estas vulnerabilidades. No existen workarounds que solucionen estas vulnerabilidades.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2025

Vulnerabilidad en Cisco IND (CVE-2023-20036)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en la interfaz web de Cisco IND podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada incorrecta al cargar un Device Pack. Un atacante podría aprovechar esta vulnerabilidad modificando la solicitud que se envía al cargar un Device Pack. Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios como NT AUTHORITY\SYSTEM en el sistema operativo subyacente de un dispositivo afectado. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/08/2025

Vulnerabilidad en Cisco Discovery (CVE-2022-20846)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en la implementación del protocolo Cisco Discovery para el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado haga que el proceso del protocolo Cisco Discovery se vuelva a cargar en un dispositivo afectado. Esta vulnerabilidad se debe a un desbordamiento del búfer de pila en ciertos mensajes del protocolo Cisco Discovery. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete malicioso del protocolo Cisco Discovery a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante provoque un desbordamiento de pila, lo que podría hacer que el proceso del protocolo Cisco Discovery se vuelva a cargar en el dispositivo. Los bytes que se pueden escribir en el desbordamiento del búfer están restringidos, lo que limita la ejecución remota de código. Nota: el protocolo Cisco Discovery es un protocolo de capa 2. Para aprovechar esta vulnerabilidad, un atacante debe estar en el mismo dominio de difusión que el dispositivo afectado (capa 2 adyacente). Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que aborden esta vulnerabilidad. Este aviso es parte de la versión de septiembre de 2022 de la publicación conjunta de avisos de seguridad del software Cisco IOS XR. Para obtener una lista completa de los avisos y los enlaces a ellos, consulte.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en Cisco IOS XR (CVE-2022-20849)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en la función Broadband Network Gateway PPP over Ethernet (PPPoE) del software Cisco IOS XR podría permitir que un atacante adyacente no autenticado provoque que el proceso PPPoE se bloquee continuamente. Esta vulnerabilidad existe porque la función PPPoE no maneja correctamente una condición de error dentro de una secuencia de paquetes específica manipulada. Un atacante podría aprovechar esta vulnerabilidad enviando una secuencia de paquetes PPPoE específicos desde un equipo local del cliente (CPE) controlado. Una explotación exitosa podría permitir que el atacante haga que el proceso PPPoE se reinicie continuamente, lo que da como resultado una condición de denegación de servicio (DoS). Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad. Este aviso es parte de la publicación de septiembre de 2022 del aviso de seguridad del software Cisco IOS XR. Para obtener una lista completa de los avisos y los enlaces a ellos, consulte.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/08/2025

Vulnerabilidad en Cisco Expressway Series y Cisco TelePresence VCS (CVE-2022-20853)
Fecha de publicación:
15/11/2024
Idioma:
Español
Una vulnerabilidad en la API REST de Cisco Expressway Series y Cisco TelePresence VCS podría permitir que un atacante remoto no autenticado realice un ataque de Cross-Site Request Forgery (CSRF) en un sistema afectado. Esta vulnerabilidad se debe a que no hay suficientes protecciones CSRF para la interfaz de administración basada en web de un sistema afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la API REST para que siga un enlace manipulado. Una explotación exitosa podría permitir que el atacante haga que el sistema afectado se recargue. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2025
Suscribirse a Vulnerabilidades