Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el proceso vDaemon de Cisco IOS XE SD-WAN Software (CVE-2021-34727)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en el proceso vDaemon de Cisco IOS XE SD-WAN Software podría permitir a un atacante remoto no autenticado causar un desbordamiento del búfer en un dispositivo afectado. Esta vulnerabilidad es debido a una comprobación insuficiente de los límites cuando un dispositivo afectado procesa el tráfico. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico diseñado al dispositivo. Una explotación con éxito podría permitir al atacante causar un desbordamiento del búfer y posiblemente ejecutar comandos arbitrarios con privilegios de nivel de root, o causar la recarga del dispositivo, que podría resultar en una condición de denegación de servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de una trama 802.11 en la implementación WLAN Control Protocol (WCP) para Cisco Aironet Access Point (AP) software (CVE-2021-34740)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en la implementación WLAN Control Protocol (WCP) para Cisco Aironet Access Point (AP) software podría permitir a un atacante adyacente no autenticado causar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido al manejo incorrecto de errores cuando un dispositivo afectado recibe una trama 802.11 inesperada. Un atacante podría explotar esta vulnerabilidad mediante el envío de determinadas tramas 802.11 a través de la red inalámbrica a una interfaz de un AP afectado. Una explotación con éxito podría permitir al atacante causar un filtrado de búfer de paquetes. Esto podría resultar eventualmente en fallos en la asignación del búfer, lo que desencadenaría una recarga del dispositivo afectado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la CLI en Cisco SD-WAN Software (CVE-2021-34726)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco SD-WAN Software podría permitir a un atacante local autenticado inyectar comandos arbitrarios para ser ejecutados con privilegios de nivel de root en el sistema operativo subyacente de un dispositivo afectado. Esta vulnerabilidad es debido a una insuficiente comprobación de entrada en determinados comandos de la CLI. Un atacante podría explotar esta vulnerabilidad al autenticarse en un dispositivo afectado y enviando entradas diseñadas a la CLI. El atacante debe estar autenticado como usuario administrativo para ejecutar los comandos afectados. Una explotación con éxito podría permitir al atacante ejecutar comandos con privilegios de nivel de root
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2022

Vulnerabilidad en la CLI de Cisco IOS XE SD-WAN Software y de Cisco IOS XE Software (CVE-2021-34729)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco IOS XE SD-WAN Software y de Cisco IOS XE Software podría permitir a un atacante local autenticado ejecutar comandos arbitrarios con privilegios elevados en un dispositivo afectado. Esta vulnerabilidad es debido a una comprobación insuficiente de los argumentos que se pasan a determinados comandos de la CLI. Un atacante podría explotar esta vulnerabilidad al incluir una entrada maliciosa en el argumento de un comando afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios con privilegios elevados en el sistema operativo subyacente. Un atacante podría necesitar credenciales de usuario válidas para explotar esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo en el directorio bootflash en la CLI de Cisco IOS XE SD-WAN Software (CVE-2021-34724)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco IOS XE SD-WAN Software podría permitir a un atacante local autenticado elevar los privilegios y ejecutar código arbitrario en el sistema operativo subyacente como usuario root. Un atacante debe estar autenticado en un dispositivo afectado como usuario PRIV15. Esta vulnerabilidad es debido a una protección insuficiente del sistema de archivos y a la presencia de un archivo confidencial en el directorio bootflash de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al sobrescribir un archivo de instalación almacenado en el directorio bootflash con comandos arbitrarios que pueden ser ejecutados con privilegios de nivel root. Una explotación con éxito podría permitir al atacante leer y escribir cambios en la base de datos de configuración del dispositivo afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un comando CLI en Cisco IOS XE SD-WAN Software (CVE-2021-34723)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en un comando CLI específico que se ejecuta en Cisco IOS XE SD-WAN Software podría permitir a un atacante local autenticado sobrescribir archivos arbitrarios en la base de datos de configuración de un dispositivo afectado. Esta vulnerabilidad es debido a una comprobación insuficiente de los parámetros específicos del comando CLI. Un atacante podría explotar esta vulnerabilidad al emitir ese comando con parámetros específicos. Una explotación con éxito podría permitir al atacante sobrescribir el contenido de la base de datos de configuración y conseguir acceso a nivel de root a un dispositivo afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en los paquetes UDLD en la funcionalidad Unidirectional Link Detection (UDLD) de Cisco FXOS Software, Cisco IOS Software, Cisco IOS XE Software, Cisco IOS XR Software, y Cisco NX-OS Software (CVE-2021-34714)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en la funcionalidad Unidirectional Link Detection (UDLD) de Cisco FXOS Software, Cisco IOS Software, Cisco IOS XE Software, Cisco IOS XR Software, y Cisco NX-OS Software podría permitir a un atacante adyacente no autenticado causar la recarga de un dispositivo afectado. Esta vulnerabilidad es debido a una comprobación inapropiada de entrada de los paquetes UDLD. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes UDLD específicamente diseñados a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar la recarga del dispositivo afectado, resultando en una condición de denegación de servicio (DoS). Nota: La funcionalidad UDLD está deshabilitada por defecto, y las condiciones para explotar esta vulnerabilidad son estrictas. Un atacante debe tener el control total de un dispositivo conectado directamente. En los dispositivos Cisco IOS XR, el impacto se limita a la recarga del proceso UDLD
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el servicio Voice Telephony Service Provider (VTSP) de Cisco IOS Software y Cisco IOS XE Software (CVE-2021-34705)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en el servicio Voice Telephony Service Provider (VTSP) de Cisco IOS Software y Cisco IOS XE Software podría permitir a un atacante remoto no autenticado omitir los patrones de destino configurados y marcar números arbitrarios. Esta vulnerabilidad es debido a una comprobación insuficiente de las cadenas de marcación en las interfaces de oficina de cambio de divisas (FXO). Un atacante podría explotar esta vulnerabilidad mediante el envío de una cadena de marcado malformada a un dispositivo afectado por medio del protocolo RDSI o SIP. Una explotación con éxito podría permitir al atacante llevar a cabo un fraude de peaje, resultando en un impacto financiero inesperado para los clientes afectados
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2025

Vulnerabilidad en la interfaz de administración basada en la web de Cisco SD-WAN vManage Software (CVE-2021-34712)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco SD-WAN vManage Software podría permitir a un atacante remoto autenticado realizar ataques de inyección de lenguaje de consulta cifrado en un sistema afectado. Esta vulnerabilidad es debido a que la interfaz de administración basada en la web no comprueba suficientemente las entradas. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas a la interfaz de un sistema afectado. Una explotación con éxito podría permitir al atacante conseguir información confidencial
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el límite de conexiones semiabiertas, del límite de inundación TCP SYN o de la cookie TCP SYN en la funcionalidad Protection Against Distributed Denial of Service Attacks de Cisco IOS XE Software (CVE-2021-34697)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en la funcionalidad Protection Against Distributed Denial of Service Attacks de Cisco IOS XE Software podría permitir a un atacante remoto no autenticado realizar ataques de denegación de servicio (DoS) al dispositivo afectado o mediante él. Esta vulnerabilidad es debido a una programación incorrecta del límite de conexiones semiabiertas, del límite de inundación TCP SYN o de la cookie TCP SYN cuando las funciones están configuradas en versiones vulnerables de Cisco IOS XE Software. Un atacante podría explotar esta vulnerabilidad al intentar inundar el tráfico hacia o mediante el dispositivo afectado. Una explotación con éxito podría permitir al atacante iniciar un ataque de DoS hacia o mediante un dispositivo afectado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el analizador TrustSec CLI de Cisco IOS and Cisco IOS XE Software (CVE-2021-34699)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en el analizador TrustSec CLI de Cisco IOS and Cisco IOS XE Software podría permitir a un atacante remoto y autenticado causar una recarga de un dispositivo afectado. Esta vulnerabilidad es debido a una interacción inapropiada entre la Interfaz de Usuario web y el analizador de la CLI. Un atacante podría explotar esta vulnerabilidad al solicitar una ejecución de un determinado comando CLI mediante la interfaz web. Una explotación con éxito podría permitir al atacante causar la recarga del dispositivo, resultando en una condición de denegación de servicio (DoS)
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2024

Vulnerabilidad en el analizador de mensajes Link Layer Discovery Protocol (LLDP) de Cisco IOS Software and Cisco IOS XE Software (CVE-2021-34703)
Fecha de publicación:
23/09/2021
Idioma:
Español
Una vulnerabilidad en el analizador de mensajes Link Layer Discovery Protocol (LLDP) de Cisco IOS Software and Cisco IOS XE Software podría permitir a un atacante desencadenar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido a una inicialización inapropiada de un búfer. Un atacante podría explotar esta vulnerabilidad por cualquiera de los siguientes métodos: Un atacante autenticado y remoto podría acceder a la tabla de vecinos LLDP por medio de la CLI o SNMP mientras el dispositivo está en un estado específico. Un atacante adyacente no autenticado podría corromper la tabla de vecinos LLDP inyectando tramas LLDP específicas en la red y luego esperar a que un administrador del dispositivo o un sistema de administración de red (NMS) que administre el dispositivo recupere la tabla de vecinos LLDP del dispositivo por medio de la CLI o SNMP. Un atacante autenticado y adyacente con credenciales SNMP de sólo lectura o con privilegios bajos en la CLI del dispositivo podría corromper la tabla de vecinos LLDP inyectando tramas LLDP específicas en la red y luego accediendo a la tabla de vecinos LLDP por medio de la CLI o SNMP. Una explotación con éxito podría permitir al atacante causar el bloqueo del dispositivo afectado, resultando en una recarga del dispositivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades