Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1159)
Fecha de publicación:
13/01/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1150)
Fecha de publicación:
13/01/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto inyectar comandos arbitrarios que son ejecutados con privilegios root. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo apuntado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1149)
Fecha de publicación:
13/01/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto inyectar comandos arbitrarios que son ejecutados con privilegios root. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo apuntado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1148)
Fecha de publicación:
13/01/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto inyectar comandos arbitrarios que son ejecutados con privilegios root. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo apuntado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un mensaje de difusión en Huawei P30 (CVE-2020-9203)
Fecha de publicación:
13/01/2021
Idioma:
Español
Se presenta una vulnerabilidad de errores de administración de recursos en Huawei P30. Los atacantes locales construyen un mensaje de difusión para alguna aplicación, causando que esta aplicación envíe este mensaje de difusión y afecte la experiencia de uso del cliente.
Gravedad CVSS v3.1: BAJA
Última modificación:
19/01/2021

Vulnerabilidad en el contenido del archivo de registro en la interfaz de administración basada en web del software Cisco Enterprise NFV Infrastructure Software (NFVIS) (CVE-2021-1127)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Enterprise NFV Infrastructure Software (NFVIS), podría permitir a un atacante autenticado remoto conducir un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de administración basada en web. La vulnerabilidad es debido a una comprobación inapropiada de entrada del contenido del archivo de registro almacenado en el dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al modificar un archivo de registro con código malicioso y haciendo que un usuario visualice el archivo de registro modificado. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo de actualización en algunos teléfonos inteligentes Huawei (CVE-2020-9142)
Fecha de publicación:
13/01/2021
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento del búfer en la región heap de la memoria en algunos teléfonos inteligentes Huawei. Una explotación con éxito de esta vulnerabilidad puede causar un desbordamiento de la pila y una sobrescritura de la memoria cuando el sistema procesa incorrectamente el archivo de actualización.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/01/2021

Vulnerabilidad en los enlaces simbólicos en los Enrutadores Secure FTP (SFTP) de Cisco StarOS para Cisco ASR 5000 Series (CVE-2021-1145)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en los Enrutadores Secure FTP (SFTP) de Cisco StarOS para Cisco ASR 5000 Series, podría permitir a un atacante autenticado remoto leer archivos arbitrarios en un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debería tener credenciales válidas en el dispositivo afectado. La vulnerabilidad es debido al manejo no seguro de enlaces simbólicos. Un atacante podría explotar esta vulnerabilidad mediante el envío de un comando SFTP diseñado hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante leer archivos arbitrarios en el dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en las comprobaciones de autorización para cambiar una contraseña en Cisco Connected Mobile Experiences (CMX) (CVE-2021-1144)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en Cisco Connected Mobile Experiences (CMX), podría permitir a un atacante autenticado remoto sin privilegios administrativos alterar la contraseña de cualquier usuario en un sistema afectado. La vulnerabilidad es debido al manejo incorrecto de las comprobaciones de autorización para cambiar una contraseña. Un atacante autenticado sin privilegios administrativos podría explotar esta vulnerabilidad mediante el envío de una petición HTTP modificada hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante alterar las contraseñas de cualquier usuario del sistema, incluyendo un usuario administrativo, y luego hacerse pasar por ese usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la implementación del Protocolo de Cisco Discovery Protocol para Cisco Video Surveillance 8000 Series IP Cameras (CVE-2021-1131)
Fecha de publicación:
13/01/2021
Idioma:
Español
Una vulnerabilidad en la implementación del Cisco Discovery Protocol para Cisco Video Surveillance 8000 Series IP Cameras, podría permitir a un atacante adyacente no autenticado causar la recarga de una cámara IP afectada. La vulnerabilidad es debido a una falta de comprobaciones cuando los mensajes son procesados desde Cisco Discovery Protocol. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete de Cisco Discovery Protocol malicioso hacia una cámara IP afectada. Una explotación con éxito podría permitir al atacante hacer que la cámara IP afectada se recargue inesperadamente, resultando en una condición de denegación de servicio (DoS). Nota: Cisco Discovery Protocol es un protocolo de capa 2. Para explotar esta vulnerabilidad, un atacante debe estar en el mismo dominio de transmisión que el dispositivo afectado (Capa 2 adyacente).
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1147)
Fecha de publicación:
13/01/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto inyectar comandos arbitrarios que son ejecutados con privilegios root. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo apuntado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1146)
Fecha de publicación:
13/01/2021
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto inyectar comandos arbitrarios que son ejecutados con privilegios root. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo apuntado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades