Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de paquetes HTTP en la Interfaz de Usuario Web del Software Cisco IOS XE (CVE-2021-1356)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en la Interfaz de Usuario Web del Software Cisco IOS XE, podrían permitir a un atacante remoto autenticado con privilegios de solo lectura causar que el software de la Interfaz de Usuario Web deje de responder y consuma instancias de línea vty, lo que resultará en una condición de denegación de servicio (DoS). Estas vulnerabilidades son debido a un manejo insuficiente de errores en la Interfaz de Usuario Web. Un atacante podría explotar estas vulnerabilidades mediante el envío de paquetes HTTP diseñados a un dispositivo afectado. Una explotación con éxito podría permitir que el atacante cause que el software de la Interfaz de Usuario Web dejara de responder y consumiera todas las líneas vty disponibles, impidiendo el establecimiento de una nueva sesión y dando como resultado una condición de DoS. Se necesitaría una intervención manual para recuperar la interfaz de usuario web y la funcionalidad de la sesión vty. Nota: estas vulnerabilidades no afectan la conexión de la consola
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de paquetes HTTP en la Interfaz de Usuario Web del Software Cisco IOS XE (CVE-2021-1220)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en la Interfaz de Usuario Web del Software Cisco IOS XE, podrían permitir a un atacante remoto autenticado con privilegios de solo lectura hacer que el software de la interfaz de usuario web deje de responder y consuma instancias de línea vty, lo que resultará en una condición de denegación de servicio (DoS). Estas vulnerabilidades son debido a un manejo insuficiente de errores en la Interfaz de Usuario Web. Un atacante podría explotar estas vulnerabilidades mediante el envío de paquetes HTTP diseñados a un dispositivo afectado. Una explotación con éxito podría permitir el atacante causar que el software de la interfaz de usuario web deje de responder y consumiera todas las líneas vty disponibles, impidiendo el establecimiento de una nueva sesión y dando como resultado una condición de DoS. Se necesitaría una intervención manual para recuperar la Interfaz de Usuario Web y la funcionalidad de la sesión vty. Nota: estas vulnerabilidades no afectan la conexión de la consola
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2024

Vulnerabilidad en los rangos de la entrada de compensación en XPLATFORM (CVE-2020-7853)
Fecha de publicación:
24/03/2021
Idioma:
Español
se presenta una vulnerabilidad de lectura/escritura saliente en XPLATFORM que no comprueba los rangos de la entrada de compensación, lo que permite que se lean datos fuera de rango. Un atacante puede explotar una ejecución de código arbitraria
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/03/2021

Vulnerabilidad en la administración de la CLI en el Software Cisco IOS XE SD-WAN (CVE-2021-1281)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en la administración de la CLI en el Software Cisco IOS XE SD-WAN, podría permitir a un atacante local autenticado acceder al sistema operativo subyacente como usuario root. Esta vulnerabilidad es debido a la forma en que el software maneja las sesiones CLI simultáneas. Un atacante podría explotar esta vulnerabilidad si se autentica en el dispositivo como usuario administrativo y ejecuta una secuencia de comandos. Una explotación con éxito podría permitir al atacante obtener acceso al sistema operativo subyacente como usuario root
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el procesamiento del protocolo Control and Provisioning of Wireless Access Points (CAPWAP) del Software Cisco IOS XE Wireless Controller para los Controladores Wireless de la Familia Cisco Catalyst 9000 (CVE-2021-1373)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en el procesamiento del protocolo Control and Provisioning of Wireless Access Points (CAPWAP) del Software Cisco IOS XE Wireless Controller para los Controladores Wireless de la Familia Cisco Catalyst 9000, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) de un dispositivo afectado. La vulnerabilidad es debido a una comprobación insuficiente de los paquetes CAPWAP. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete CAPWAP malformado a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que el dispositivo afectado se bloquee y se recargue, lo que resultará en una condición de DoS
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el procesamiento del protocolo DECnet Phase IV y DECnet/OSI del Software Cisco IOS XE (CVE-2021-1352)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en el procesamiento del protocolo DECnet Phase IV y DECnet/OSI del Software Cisco IOS XE, podría permitir a un atacante adyacente no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de la entrada insuficiente del tráfico DECnet que recibe un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico DECnet a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que el dispositivo afectado se recargue, dando como resultado una condición de DoS
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el control de acceso basado en roles del Software Cisco IOS XE SD-WAN (CVE-2021-1371)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en el control de acceso basado en roles del Software Cisco IOS XE SD-WAN, podría permitir a un atacante local autenticado con privilegios de solo lectura obtener privilegios administrativos utilizando el puerto de la consola cuando el dispositivo está en la configuración SD-WAN predeterminada. Esta vulnerabilidad ocurre porque se aplica la configuración predeterminada para la autenticación y autorización de la consola. Un atacante podría explotar esta vulnerabilidad si se conecta al puerto de la consola y se autentica como usuario de solo lectura. Una explotación con éxito podría permitir a un usuario con permisos de solo lectura acceder a privilegios administrativos
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles (CVE-2021-1471)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles, podrían permitir a un atacante ejecutar programas arbitrarios en el sistema operativo subyacente con privilegios elevados, acceder a información confidencial, interceptar el tráfico de red protegido o causar una condición de denegación de servicio (DoS). Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la CLI del Software Cisco IOS XE SD-WAN (CVE-2021-1454)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en la CLI del Software Cisco IOS XE SD-WAN, podrían permitir a un atacante local autenticado acceder al sistema operativo subyacente con privilegios root. Estas vulnerabilidades son debido a una comprobación de la entrada insuficiente de determinados comandos de la CLI. Un atacante podría explotar estas vulnerabilidades al autenticarse en el dispositivo y enviar una entrada diseñada a la CLI. El atacante debe estar autenticado como usuario administrativo para ejecutar los comandos afectados. Una explotación con éxito podría permitir al atacante acceder al sistema operativo subyacente con privilegios root
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad de verificación de imagen de software del Software Cisco IOS XE para la familia de Switches Cisco Catalyst 9000 (CVE-2021-1453)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en la funcionalidad de verificación de imagen de software del Software Cisco IOS XE para la familia de Switches Cisco Catalyst 9000, podría permitir a un atacante físico no autenticado ejecutar código sin firmar en el momento del inicio del sistema. La vulnerabilidad es debido a una comprobación incorrecta en la función de código que administra la comprobación de las firmas digitales de los archivos de imagen del sistema durante el proceso de arranque inicial. Un atacante podría explotar esta vulnerabilidad al cargar software sin firmar en un dispositivo afectado. Una explotación con éxito podría permitir al atacante iniciar una imagen de software malicioso o ejecutar código sin firmar y omitir la comprobación de la imagen como parte del proceso de inicio seguro de un dispositivo afectado. Para explotar esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad DNS application layer gateway (ALG) en NAT en el Software Cisco IOS XE (CVE-2021-1446)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en la funcionalidad DNS application layer gateway (ALG) utilizada por la Network Address Translation (NAT) en el Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar la recarga de un dispositivo afectado. La vulnerabilidad es debido a un error lógico que ocurre cuando un dispositivo afectado inspecciona determinados paquetes DNS. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes DNS diseñados por medio de un dispositivo afectado que realiza NAT para paquetes DNS. Una explotación con éxito podría permitir a un atacante causar que el dispositivo se recargue, lo que resultaría en una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad solo puede explotarse mediante el tráfico que se envía por medio de un dispositivo afectado mediante paquetes IPv4. La vulnerabilidad no se puede explotar por medio del tráfico IPv6
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un comando de diagnóstico para el subsistema Plug-and-Play (PnP) del Software Cisco IOS XE (CVE-2021-1442)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en un comando de diagnóstico para el subsistema Plug-and-Play (PnP) del Software Cisco IOS XE, podría permitir a un atacante local autenticado eleve privilegios al nivel de un usuario administrador (nivel 15) en un dispositivo afectado. La vulnerabilidad es debido a una protección insuficiente de la información confidencial. Un atacante con pocos privilegios podría explotar esta vulnerabilidad emitiendo el show pnp profile de la CLI de diagnóstico cuando un oyente PnP específico está habilitado en el dispositivo. Una explotación con éxito podría permitir al atacante obtener un token de autenticación privilegiado. Este token se puede utilizar para enviar mensajes PnP diseñados y ejecutar comandos privilegiados en el sistema de destino
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2021
Suscribirse a Vulnerabilidades