Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la interfaz WAN en Trendnet AC2600 TEW-827DRU (CVE-2021-20149)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, no presenta suficientes controles de acceso para la interfaz WAN. El conjunto de reglas iptables por defecto para gobernar el acceso a los servicios en el dispositivo sólo se aplica a IPv4. Todos los servicios que son ejecutados en los dispositivos son accesibles por medio de la interfaz WAN por medio de IPv6 por defecto.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/01/2022

Vulnerabilidad en la administración de sesiones del dispositivo en Trendnet AC2600 TEW-827DRU (CVE-2021-20151)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, contiene un fallo en la administración de sesiones del dispositivo. El software de administración del router administra las sesiones web basándose en la dirección IP en lugar de verificar las cookies/tokens de sesión del cliente/etc. Esto permite a un atacante (ya sea desde un ordenador diferente, un navegador web distinto en la misma máquina, etc.) hacerse con una sesión existente. Esto requiere que el atacante sea capaz de falsificar o tomar la dirección IP original de la sesión del usuario original.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/01/2022

Vulnerabilidad en la funcionalidad bittorrent en Trendnet AC2600 TEW-827DRU (CVE-2021-20152)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, carece de la autenticación apropiada para la funcionalidad bittorrent. Si está habilitada, cualquiera puede visitar y modificar la configuración y los archivos por medio del cliente web de Bittorent al visitar: http://192.168.10.1:9091/transmission/web/<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/01/2022

Vulnerabilidad en la funcionalidad bittorrent en Trendnet AC2600 TEW-827DRU (CVE-2021-20153)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, contiene una vulnerabilidad de symlink en la funcionalidad bittorrent. Si está habilitada, la funcionalidad de bittorrent es vulnerable a un ataque de enlace simbólico que podría conllevar a una ejecución de código remota en el dispositivo. Si un usuario final inserta una unidad flash con un enlace simbólico malicioso en el que el cliente bittorrent puede escribir descargas, entonces un usuario es capaz de descargar archivos arbitrarios en cualquier ubicación deseada en el sistema de archivos del dispositivo, lo que podría conllevar a una ejecución de código remota. Ejemplos de directorios vulnerables a esto incluyen "config", "downloads", y "torrents", aunque debe notarse que "downloads" es el único vector que permite la descarga de archivos arbitrarios a ubicaciones arbitrarias.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/01/2022

Vulnerabilidad en la interfaz web en Trendnet AC2600 TEW-827DRU (CVE-2021-20154)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, contiene un fallo de seguridad en la interfaz web. HTTPS no está habilitado en el dispositivo por defecto. Esto resulta en una transmisión en texto sin cifrar de información confidencial, como las contraseñas.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/01/2022

Vulnerabilidad en la interfaz web de administración en Trendnet AC2600 TEW-827DRU (CVE-2021-20155)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, usa credenciales embebidas. Es posible hacer una copia de seguridad y restaurar las configuraciones del dispositivo por medio de la interfaz web de administración. Estos dispositivos están encriptados usando una contraseña embebida de "12345678".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/01/2022

Vulnerabilidad en Trendnet AC2600 TEW-827DRU (CVE-2021-20156)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, contiene una configuración de control de acceso inapropiada que podría permitir una actualización de firmware maliciosa. Es posible instalar manualmente firmware que puede ser de naturaleza maliciosa, ya que no parece haber ninguna comprobación de firma realizada para determinar si es de una fuente conocida y confiable. Esto incluye las actualizaciones de firmware que se realizan por medio de la "check for updates" automatizada en la interfaz de administración. Si un atacante es capaz de hacerse pasar por el servidor de actualizaciones, el dispositivo no verificará que las actualizaciones de firmware descargadas son legítimas.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/01/2022

Vulnerabilidad en la redirección del asistente de configuración en Trendnet AC2600 TEW-827DRU (CVE-2021-20150)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, revela inapropiadamente información por medio de la redirección del asistente de configuración. La autenticación puede ser omitida y un usuario puede visualizar la información como administrador al navegar manualmente al asistente de configuración y forzarlo a redirigir a la página deseada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en Trendnet AC2600 TEW-827DRU (CVE-2021-20158)
Fecha de publicación:
30/12/2021
Idioma:
Español
Trendnet AC2600 TEW-827DRU versión 2.08B01, contiene una vulnerabilidad de omisión de autenticación. Es posible que un actor malicioso no autenticado fuerce el cambio de la contraseña de administrador debido a un comando administrativo oculto.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en lLos servicios de Quagga en el D-Link DIR-2640 (CVE-2021-20132)
Fecha de publicación:
30/12/2021
Idioma:
Español
Los servicios de Quagga en el D-Link DIR-2640 menores o iguales a versión 1.11B02, usan credenciales predeterminadas embebidas, que pueden permitir a un atacante remoto conseguir acceso administrativo a zebra o al ripd de esos servicios. Ambos son ejecutados con privilegios de root en el router (es decir, como el usuario "admin", UID 0).
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2022

Vulnerabilidad en Glewlwyd (CVE-2021-45379)
Fecha de publicación:
30/12/2021
Idioma:
Español
Glewlwyd versión 2.0.0, corregido en 2.6.1, está afectado por una vulnerabilidad de control de acceso incorrecto. Un usuario puede intentar iniciar sesión como otro usuario sin su contraseña.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en IBM i (CVE-2021-38876)
Fecha de publicación:
30/12/2021
Idioma:
Español
IBM i versiones 7.2, 7.3 y 7.4, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario de la web, alterando así la funcionalidad prevista y conllevando potencialmente una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 208404.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2022
Suscribirse a Vulnerabilidades