Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los algoritmos criptográficos en IBM API Connect (CVE-2020-4452)
Fecha de publicación:
29/06/2020
Idioma:
Español
IBM API Connect versiones V2018.4.1.0 hasta 2018.4.1.11, utiliza algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 181324
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el script de inicio de la aplicación Baxter ExactaMix EM y ExactaMix EM (CVE-2020-12020)
Fecha de publicación:
29/06/2020
Idioma:
Español
Baxter ExactaMix EM 2400 Versiones 1.10, 1.11 y 1.13 y ExactaMix EM1200 Versiones 1.1, 1.2 y 1.4, no restringe que los usuarios no administrativos consigan acceso al sistema operativo y editen el script de inicio de la aplicación. Una explotación con éxito de esta vulnerabilidad puede permitir a un atacante alterar el script de inicio como el usuario de acceso limitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2020

Vulnerabilidad en un servicio Telnet en el Puerto 1023 en Baxter Spectrum WBM (CVE-2020-12045)
Fecha de publicación:
29/06/2020
Idioma:
Español
El Baxter Spectrum WBM (versiones v17, v20D29, v20D30, v20D31 y v22D24) cuando es usado junto con un Baxter Spectrum versión v8.x (modelo 35700BAX2), opera un servicio Telnet en el Puerto 1023 con credenciales embebidas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en el servicio FTP en redes inalámbricas en Baxter Spectrum WBM (CVE-2020-12043)
Fecha de publicación:
29/06/2020
Idioma:
Español
El Baxter Spectrum WBM (versiones v17, v20D29, v20D30, v20D31 y v22D24) cuando está configurado para redes inalámbricas, el servicio FTP que opera en el WBM permanece operativo hasta que el WBM es reiniciado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en un servicio FTP en una configuración inalámbrica en Baxter Spectrum WBM (CVE-2020-12047)
Fecha de publicación:
29/06/2020
Idioma:
Español
El Baxter Spectrum WBM (versiones v17, v20D29, v20D30, v20D31 y v22D24), cuando es usado con un Baxter Spectrum versión v8.x (modelo 35700BAX2), en una configuración inalámbrica predeterminada de fábrica, permite un servicio FTP con credenciales embebidas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en la Interfaz de Línea de Comandos telnet en los ajustes de red de Baxter Spectrum WBM (CVE-2020-12041)
Fecha de publicación:
29/06/2020
Idioma:
Español
La Interfaz de Línea de Comandos telnet de Baxter Spectrum WBM (versiones v17, v20D29, v20D30, v20D31 y v22D24), otorga acceso a datos confidenciales almacenados en el WBM que permite cambios de configuración temporales en ajustes de red del WBM y permite que el WBM sea reiniciado. Los cambios de configuración temporales de la red son eliminados al reiniciar
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en credenciales embebidas de cuenta administrativa en Baxter ExactaMix EM 2400 y EM 1200 (CVE-2020-12016)
Fecha de publicación:
29/06/2020
Idioma:
Español
Baxter ExactaMix EM 2400 y EM 1200, Versiones ExactaMix EM2400 Versiones 1.10, 1.11, 1.13, 1.14, ExactaMix EM1200 Versiones 1.1, 1.2, 1.4, 1.5, Baxter ExactaMix EM 2400 Versiones 1.10, 1.11, 1.13, 1.14 y ExactaMix EM1200 Versiones 1.1, 1.2 , 1.4 y 1.5, poseen credenciales embebidas de cuenta administrativa para el sistema operativo de ExactaMix. Una explotación con éxito de esta vulnerabilidad puede permitir a un atacante que haya obtenido acceso no autorizado a los recursos del sistema, incluido el acceso para ejecutar software o para visualizar y actualizar archivos, directorios o la configuración del sistema. Esto podría permitir a un atacante con acceso a la red visualizar datos confidenciales, incluyendo la PHI
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en credenciales embebidas de cuenta administrativa en Baxter ExactaMix EM 2400 y EM 1200 (CVE-2020-12012)
Fecha de publicación:
29/06/2020
Idioma:
Español
Baxter ExactaMix EM 2400 y EM 1200, Versiones ExactaMix EM2400 Versiones 1.10, 1.11, 1.13, 1.14, ExactaMix EM1200 Versiones 1.1, 1.2, 1.4, 1.5, Baxter ExactaMix EM 2400 Versiones 1.10, 1.11 y 1.13, y ExactaMix EM1200 Versiones 1.1, 1.2 y 1.4, poseen credenciales embebidas de cuenta administrativa para la aplicación ExactaMix. Una explotación con éxito de esta vulnerabilidad puede permitir que un atacante con acceso físico consiga acceso no autorizado para visualizar y actualizar la configuración o los datos del sistema. Esto podría afectar la confidencialidad e integridad del sistema y el riesgo de exposición de información confidencial, incluyendo la PHI
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2020

Vulnerabilidad en contraseñas embebidas en Baxter Sigma Spectrum Infusion Pumps Sigma Spectrum Infusion System y Baxter Spectrum Infusion System (CVE-2020-12039)
Fecha de publicación:
29/06/2020
Idioma:
Español
Baxter Sigma Spectrum Infusion Pumps Sigma Spectrum Infusion System versiones v's6.x modelo 35700BAX y Baxter Spectrum Infusion System versiones v's8.x modelo 35700BAX2, contienen contraseñas embebidas cuando se ingresan físicamente en el teclado proporcionan acceso a menús biomédicos que incluyen configuraciones de dispositivos, visualizar valores de calibración, configuración de red de Sigma Spectrum WBM si está instalado
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2020

Vulnerabilidad en un canal de comunicación en la capa de aplicación en las medidas de seguridad de la red en Sigma Spectrum Infusion System y Baxter Spectrum Infusion System (CVE-2020-12040)
Fecha de publicación:
29/06/2020
Idioma:
Español
Sigma Spectrum Infusion System versiones v's6.x (modelo 35700BAX) y Baxter Spectrum Infusion System versiones 8.x (modelo 35700BAX2), en la capa de aplicación utilizan un canal de comunicación de texto sin cifrar no autenticado para enviar y recibir el estado del sistema y los datos operativos. Esto podría permitir a un atacante que haya eludido las medidas de seguridad de la red visualizar datos confidenciales no privados o llevar a cabo un ataque de tipo man-in-the-middle
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2020

Vulnerabilidad en el dispositivo Phoenix Hemodialysis en el cifrado de datos en tránsito en Phoenix Hemodialysis Delivery System SW (CVE-2020-12048)
Fecha de publicación:
29/06/2020
Idioma:
Español
Phoenix Hemodialysis Delivery System SW versiones 3.36 y 3.40, el dispositivo Phoenix Hemodialysis no admite el cifrado de datos en tránsito (por ejemplo, TLS/SSL) al transmitir datos de tratamiento y prescripción en la red entre el sistema Phoenix y la herramienta de gestión de datos de diálisis Exalis. Un atacante con acceso a la red podría observar el tratamiento confidencial y los datos de prescripción enviados entre el sistema Phoenix y la herramienta Exalis
Gravedad CVSS v3.1: ALTA
Última modificación:
16/07/2020

Vulnerabilidad en una contraseña de servicio embebida en Baxter PrismaFlex y PrisMax (CVE-2020-12035)
Fecha de publicación:
29/06/2020
Idioma:
Español
Baxter PrismaFlex todas las versiones, PrisMax todas las versiones anteriores a 3.x, el dispositivo PrismaFlex, contiene una contraseña de servicio embebida que proporciona acceso a información biomédica, configuración del dispositivo, configuración de calibración y configuración de red. Esto podría permitir a un atacante modificar la configuración y la calibración del dispositivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2020
Suscribirse a Vulnerabilidades