Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una contraseña root126 en cuenta root en diversos Dispositivos CDATA (CVE-2020-29061)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en Dispositivos CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD20D1104SN, FD1104S, FD20D1104SN, R220D1104SN-R2, FD1208S-R2, FD1216S-R1, FD1608GS, FD1608SN, FD1616GS, FD1616SN y FD8000. Existe una contraseña root126 predeterminada para la cuenta root
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/03/2021

Vulnerabilidad en una contraseña en blanco en diversos Dispositivos CDATA (CVE-2020-29062)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en Dispositivos CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD20D1104SN, FD1104S, FD20D1104SN, R220D1104SN-R2, FD1208S-R2, FD1216S-R1, FD1608GS, FD1608SN, FD1616GS, FD1616SN y FD8000. Existe una contraseña en blanco predeterminada para la cuenta de invitado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/03/2021

Vulnerabilidad en un algoritmo de cifrado personalizado en diversos Dispositivos CDATA (CVE-2020-29063)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en Dispositivos CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD20D1104SN, FD1104S, FD20D1104SN, R220D1104SN-R2, FD1208S-R2, FD1216S-R1, FD1608GS, FD1608SN, FD1616GS, FD1616SN y FD8000. Un algoritmo de cifrado personalizado es usado para almacenar contraseñas cifradas. Este algoritmo XOR establecerá la ??contraseña con el valor embebido *j7a(L#yZ98sSd5HfSgGjMj8;Ss;d)(*&^#@$a2s0i3g
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en "show system infor" en credenciales TELNET en diversos Dispositivos CDATA (CVE-2020-29054)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en Dispositivos CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD20D1104SN, FD1104S, FD20D1104SN, R220D1104SN-R2, FD1208S-R2, FD1216S-R1, FD1608GS, FD1608SN, FD1616GS, FD1616SN y FD8000. Los atacantes pueden usar "show system infor" para detectar credenciales TELNET en texto sin cifrar
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/03/2021

Vulnerabilidad en SSL/TLS para HTTP o SSH en diversos Dispositivos CDATA (CVE-2020-29055)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en Dispositivos CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD20D1104SN, FD1104S, FD20D1104SN, R220D1104SN-R2, FD1208S-R2, FD1216S-R1, FD1608GS, FD1608SN, FD1616GS, FD1616SN y FD8000. Por defecto, el dispositivo se puede administrar remotamente solo con HTTP, telnet y SNMP. No es compatible con SSL/TLS para HTTP o SSH. Un atacante puede interceptar contraseñas enviadas en texto sin cifrar y llevar a cabo ataques de tipo man-in-the-middle en la administración del dispositivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2021

Vulnerabilidad en el envío de bytes aleatorios en el puerto 23 en diversos Dispositivos CDATA (CVE-2020-29057)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en Dispositivos CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD20D1104SN, FD1104S, FD20D1104SN, R220D1104SN-R2, FD1208S-R2, FD1216S-R1, FD1608GS, FD1608SN, FD1616GS, FD1616SN y FD8000. Permite a atacantes remotos causar una denegación de servicio (reinicio) enviando bytes aleatorios al servidor telnet en el puerto 23, también se conoce como un ataque de tipo "shawarma"
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2021

Vulnerabilidad en el envío de un paquete hel,xasf en los dispositivos TOTOLINK A850R-V1 y F1-V2 (CVE-2015-9550)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en los dispositivos TOTOLINK A850R-V1 versiones hasta 1.0.1-B20150707.1612 y F1-V2 versiones hasta 1.1-B20150708.1646. Mediante el envío de un paquete hel,xasf específico hacia la interfaz WAN, es posible abrir la interfaz de administración web sobre la interfaz WAN
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2020

Vulnerabilidad en la interfaz de administración en el parámetro formSysCmd sysCmd en los dispositivos TOTOLINK A850R-V1 y F1-V2 (CVE-2015-9551)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en los dispositivos TOTOLINK A850R-V1 versiones hasta 1.0.1-B20150707.1612 y F1-V2 versiones hasta 1.1-B20150708.1646. Se presenta una Ejecución de Código Remota en la interfaz de administración por medio del parámetro formSysCmd sysCmd
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/12/2020

Vulnerabilidad en un enlace en un Jupyter Server (CVE-2020-26232)
Fecha de publicación:
24/11/2020
Idioma:
Español
Jupyter Server anterior a versión 1.0.6, presenta una vulnerabilidad de redireccionamiento abierto. Un enlace creado con fines maliciosos en un servidor jupyter podría redireccionar el navegador a un sitio web diferente. Todos los servidores jupyter están afectados técnicamente; sin embargo, estos enlaces creados con fines maliciosos solo se pueden crear de forma razonable para hosts de servidores jupyter conocidos. Un enlace a su servidor jupyter puede parecer seguro, pero en última instancia redirecciona a un servidor falsificado en la internet pública
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/12/2020

Vulnerabilidad en la configuración de descarga TFTP en diversos Dispositivos CDATA (CVE-2020-29056)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en Dispositivos CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD20D1104SN, FD1104S, FD20D1104SN, R220D1104SN-R2, FD1208S-R2, FD1216S-R1, FD1608GS, FD1608SN, FD1616GS, FD1616SN y FD8000. Uno puede escapar de un shell y adquirir privilegios de root aprovechando la configuración de descarga TFTP
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en determinadas peticiones /opt/lighttpd/web/cgi/ en diversos Dispositivos CDATA (CVE-2020-29058)
Fecha de publicación:
24/11/2020
Idioma:
Español
Se detectó un problema en Dispositivos CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD20D1104SN, FD1104S, FD20D1104SN, R220D1104SN-R2, FD1208S-R2, FD1216S-R1, FD1608GS, FD1608SN, FD1616GS, FD1616SN y FD8000. Los atacantes pueden detectar credenciales de servidor web en texto sin cifrar por medio de determinadas peticiones /opt/lighttpd/web/cgi/
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en el envío de un paquete en el código fuente del adaptador 499ES EtherNet/IP (ENIP) (CVE-2020-25159)
Fecha de publicación:
24/11/2020
Idioma:
Español
El código fuente del adaptador 499ES EtherNet/IP (ENIP), es vulnerable a un desbordamiento del búfer en la región stack de la memoria, lo que puede permitir a un atacante enviar un paquete especialmente diseñado que puede resultar en una condición de denegación de servicio o una ejecución de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/11/2020
Suscribirse a Vulnerabilidades