Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la funcionalidad fast reload del Software Cisco IOS XE que se ejecuta en los Switches Cisco Catalyst 3850, Cisco Catalyst 9300 y Cisco Catalyst 9300L Series (CVE-2021-1376)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en la funcionalidad fast reload del Software Cisco IOS XE que se ejecuta en los Switches Cisco Catalyst 3850, Cisco Catalyst 9300 y Cisco Catalyst 9300L Series, podrían permitir a un atacante local autenticado ejecutar código arbitrario en el sistema operativo subyacente, instalar y arrancar un imagen de software malicioso o ejecutar binarios sin firmar en un dispositivo afectado. Estas vulnerabilidades son debido a comprobaciones incorrectas llevadas a cabo por las rutinas de arranque del sistema. Para explotar estas vulnerabilidades, el atacante necesitaría acceso privilegiado a la CLI del dispositivo. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema operativo subyacente o ejecutar código sin firmar y omitir la parte de comprobación de imagen del proceso de arranque seguro. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2021

Vulnerabilidad en un DAG en go-ipfs (CVE-2020-26279)
Fecha de publicación:
24/03/2021
Idioma:
Español
go-ipfs es una implementación golang de código abierto de IPFS, que es un sistema de archivos global, versionado, peer-to-peer. En go-ipfs versiones anteriores a 0.8.0-rc1, es posible que ocurra un salto de ruta con DAG que contengan rutas relativas durante la recuperación. Esto puede hacer que los archivos se sobrescriban o se escriban en directorios de salida incorrectos. El problema solo puede ocurrir cuando se realiza una obtención en un DAG afectado. Esto se corrige en la versión 0.8.0-rc1
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2021

Vulnerabilidad en los caracteres de control (CVE-2020-26283)
Fecha de publicación:
24/03/2021
Idioma:
Español
go-ipfs es una implementación golang de código abierto de IPFS, que es un sistema de archivos global, versionado, peer-to-peer. En go-ipfs versiones anteriores a 0.8.0, los caracteres de control no se escapan de la salida de la consola. Esto puede resultar en ocultar la entrada del usuario, lo que podría resultar en que el usuario tome una acción maliciosa desconocida. Esto se corrige en la versión 0.8.0
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2021

Vulnerabilidad en el envío de paquetes HTTP en la Interfaz de Usuario Web del Software Cisco IOS XE (CVE-2021-1356)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en la Interfaz de Usuario Web del Software Cisco IOS XE, podrían permitir a un atacante remoto autenticado con privilegios de solo lectura causar que el software de la Interfaz de Usuario Web deje de responder y consuma instancias de línea vty, lo que resultará en una condición de denegación de servicio (DoS). Estas vulnerabilidades son debido a un manejo insuficiente de errores en la Interfaz de Usuario Web. Un atacante podría explotar estas vulnerabilidades mediante el envío de paquetes HTTP diseñados a un dispositivo afectado. Una explotación con éxito podría permitir que el atacante cause que el software de la Interfaz de Usuario Web dejara de responder y consumiera todas las líneas vty disponibles, impidiendo el establecimiento de una nueva sesión y dando como resultado una condición de DoS. Se necesitaría una intervención manual para recuperar la interfaz de usuario web y la funcionalidad de la sesión vty. Nota: estas vulnerabilidades no afectan la conexión de la consola
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de paquetes HTTP en la Interfaz de Usuario Web del Software Cisco IOS XE (CVE-2021-1220)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en la Interfaz de Usuario Web del Software Cisco IOS XE, podrían permitir a un atacante remoto autenticado con privilegios de solo lectura hacer que el software de la interfaz de usuario web deje de responder y consuma instancias de línea vty, lo que resultará en una condición de denegación de servicio (DoS). Estas vulnerabilidades son debido a un manejo insuficiente de errores en la Interfaz de Usuario Web. Un atacante podría explotar estas vulnerabilidades mediante el envío de paquetes HTTP diseñados a un dispositivo afectado. Una explotación con éxito podría permitir el atacante causar que el software de la interfaz de usuario web deje de responder y consumiera todas las líneas vty disponibles, impidiendo el establecimiento de una nueva sesión y dando como resultado una condición de DoS. Se necesitaría una intervención manual para recuperar la Interfaz de Usuario Web y la funcionalidad de la sesión vty. Nota: estas vulnerabilidades no afectan la conexión de la consola
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2024

Vulnerabilidad en los rangos de la entrada de compensación en XPLATFORM (CVE-2020-7853)
Fecha de publicación:
24/03/2021
Idioma:
Español
se presenta una vulnerabilidad de lectura/escritura saliente en XPLATFORM que no comprueba los rangos de la entrada de compensación, lo que permite que se lean datos fuera de rango. Un atacante puede explotar una ejecución de código arbitraria
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/03/2021

Vulnerabilidad en la administración de la CLI en el Software Cisco IOS XE SD-WAN (CVE-2021-1281)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en la administración de la CLI en el Software Cisco IOS XE SD-WAN, podría permitir a un atacante local autenticado acceder al sistema operativo subyacente como usuario root. Esta vulnerabilidad es debido a la forma en que el software maneja las sesiones CLI simultáneas. Un atacante podría explotar esta vulnerabilidad si se autentica en el dispositivo como usuario administrativo y ejecuta una secuencia de comandos. Una explotación con éxito podría permitir al atacante obtener acceso al sistema operativo subyacente como usuario root
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el procesamiento del protocolo Control and Provisioning of Wireless Access Points (CAPWAP) del Software Cisco IOS XE Wireless Controller para los Controladores Wireless de la Familia Cisco Catalyst 9000 (CVE-2021-1373)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en el procesamiento del protocolo Control and Provisioning of Wireless Access Points (CAPWAP) del Software Cisco IOS XE Wireless Controller para los Controladores Wireless de la Familia Cisco Catalyst 9000, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) de un dispositivo afectado. La vulnerabilidad es debido a una comprobación insuficiente de los paquetes CAPWAP. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete CAPWAP malformado a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que el dispositivo afectado se bloquee y se recargue, lo que resultará en una condición de DoS
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el procesamiento del protocolo DECnet Phase IV y DECnet/OSI del Software Cisco IOS XE (CVE-2021-1352)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en el procesamiento del protocolo DECnet Phase IV y DECnet/OSI del Software Cisco IOS XE, podría permitir a un atacante adyacente no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de la entrada insuficiente del tráfico DECnet que recibe un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico DECnet a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que el dispositivo afectado se recargue, dando como resultado una condición de DoS
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el control de acceso basado en roles del Software Cisco IOS XE SD-WAN (CVE-2021-1371)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en el control de acceso basado en roles del Software Cisco IOS XE SD-WAN, podría permitir a un atacante local autenticado con privilegios de solo lectura obtener privilegios administrativos utilizando el puerto de la consola cuando el dispositivo está en la configuración SD-WAN predeterminada. Esta vulnerabilidad ocurre porque se aplica la configuración predeterminada para la autenticación y autorización de la consola. Un atacante podría explotar esta vulnerabilidad si se conecta al puerto de la consola y se autentica como usuario de solo lectura. Una explotación con éxito podría permitir a un usuario con permisos de solo lectura acceder a privilegios administrativos
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles (CVE-2021-1471)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles, podrían permitir a un atacante ejecutar programas arbitrarios en el sistema operativo subyacente con privilegios elevados, acceder a información confidencial, interceptar el tráfico de red protegido o causar una condición de denegación de servicio (DoS). Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la CLI del Software Cisco IOS XE SD-WAN (CVE-2021-1454)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en la CLI del Software Cisco IOS XE SD-WAN, podrían permitir a un atacante local autenticado acceder al sistema operativo subyacente con privilegios root. Estas vulnerabilidades son debido a una comprobación de la entrada insuficiente de determinados comandos de la CLI. Un atacante podría explotar estas vulnerabilidades al autenticarse en el dispositivo y enviar una entrada diseñada a la CLI. El atacante debe estar autenticado como usuario administrativo para ejecutar los comandos afectados. Una explotación con éxito podría permitir al atacante acceder al sistema operativo subyacente con privilegios root
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades