Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de mensajes HTTP en AddVLANItem de Trend Micro InterScan Web Security Virtual Appliance (CVE-2020-28580)
Fecha de publicación:
18/11/2020
Idioma:
Español
Una vulnerabilidad de inyección de comandos en AddVLANItem de Trend Micro InterScan Web Security Virtual Appliance versión 6.5 SP2, podría permitir a un atacante remoto autenticado enviar mensajes HTTP especialmente diseñados y ejecutar comandos de SO arbitrarios con privilegios elevados
Gravedad CVSS v3.1: ALTA
Última modificación:
28/11/2020

Vulnerabilidad en el envío de un mensaje HTTP en Trend Micro InterScan Web Security Virtual Appliance (CVE-2020-28579)
Fecha de publicación:
18/11/2020
Idioma:
Español
Una vulnerabilidad en Trend Micro InterScan Web Security Virtual Appliance versión 6.5 SP2, podría permitir a un atacante remoto autenticado enviar un mensaje HTTP especialmente diseñado y lograr una ejecución de código remota con privilegios elevados
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2020

Vulnerabilidad en una DLL en el paquete de instalación en Trend Micro Security 2020 (Consumer) (CVE-2020-27697)
Fecha de publicación:
18/11/2020
Idioma:
Español
Trend Micro Security 2020 (Consumer), contiene una vulnerabilidad en el paquete de instalación que podría ser explotada al colocar una DLL maliciosa en una ubicación no protegida con altos privilegios (ataque de tipo symlink) que puede conllevar a una obtención de privilegios administrativos durante la instalación del producto
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en el instalador del producto en Trend Micro Apex One (CVE-2020-28572)
Fecha de publicación:
18/11/2020
Idioma:
Español
Una vulnerabilidad en Trend Micro Apex One, podría permitir a un usuario no privilegiado abusar el instalador del producto para reinstalar el agente con código malicioso adicional en el contexto de un privilegio superior
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el envío de peticiones a la API de Cisco IoT Field Network Director (FND) (CVE-2020-3392)
Fecha de publicación:
18/11/2020
Idioma:
Español
Una vulnerabilidad en la API de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto no autenticado visualizar información confidencial en un sistema afectado. La vulnerabilidad se presenta porque el software afectado no autentica apropiadamente las llamadas a la API. Un atacante podría explotar esta vulnerabilidad mediante el envío peticiones a la API hacia un sistema afectado. Una explotación con éxito podría permitir al atacante visualizar información confidencial en el sistema afectado, incluyendo información sobre los dispositivos que administra el sistema, sin autenticación
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2020

Vulnerabilidad en la interfaz web y CLI en el subsistema de suscripción de registros de Cisco AsyncOS para Cisco Secure Web Appliance (CVE-2020-3367)
Fecha de publicación:
18/11/2020
Idioma:
Español
Una vulnerabilidad en el subsistema de suscripción de registros de Cisco AsyncOS para Cisco Secure Web Appliance (anteriormente Web Security Appliance), podría permitir a un atacante local autenticado llevar a cabo la inyección de comandos y elevar los privilegios a root. Esta vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario hacia la interfaz web y CLI. Un atacante podría explotar esta vulnerabilidad al autenticarse en el dispositivo afectado e inyectar comandos de scripting en el ámbito del subsistema de suscripción de registros. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente y elevar los privilegios a root
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2020

Vulnerabilidad en el uso de mensajes segmentados en IBM MQ Appliance (CVE-2020-4592)
Fecha de publicación:
18/11/2020
Idioma:
Español
IBM MQ Appliance versión 9.1.CD y LTS, podrían permitir a un usuario autenticado, bajo una configuración no predeterminada, causar un ataque de corrupción de datos debido a un error al utilizar mensajes segmentados
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2020

Vulnerabilidad en una interfaz de programación de aplicaciones (API) de Cisco Webex Meetings (CVE-2020-27126)
Fecha de publicación:
18/11/2020
Idioma:
Español
Una vulnerabilidad en una API de Cisco Webex Meetings, podría permitir a un atacante remoto no autenticado conducir ataques de tipo cross-site scripting. La vulnerabilidad es debido a una comprobación inapropiada de la entrada suministrada por el usuario a una interfaz de programación de aplicaciones (API) dentro de Cisco Webex Meetings. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario objetivo de que siga un vínculo diseñado para enviar información maliciosa a la API utilizada por Cisco Webex Meetings. Una explotación con éxito podría permitir al atacante conducir ataques de tipo cross-site scripting y potencialmente conseguir acceso a información confidencial basada en navegador del sistema de un usuario apuntado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un enlace en la interfaz de usuario web de Cisco IoT Field Network Director (FND) (CVE-2020-26081)
Fecha de publicación:
18/11/2020
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de usuario web de Cisco IoT Field Network Director (FND), podrían permitir a un atacante remoto no autenticado llevar a cabo ataques de tipo cross-site scripting (XSS) contra usuarios en un sistema afectado. Las vulnerabilidades son debido a una comprobación insuficiente de la entrada suministrada por el usuario que es procesada por la interfaz de usuario web. Un atacante podría explotar estas vulnerabilidades persuadiendo a un usuario para que haga clic en un enlace creado. Una explotación con éxito podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz o acceder a información confidencial basada en navegador en un sistema afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2020

Vulnerabilidad en el control de acceso en la funcionalidad user management de Cisco IoT Field Network Director (FND) (CVE-2020-26080)
Fecha de publicación:
18/11/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad user management de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto autenticado administrar la información de los usuarios en diferentes dominios en un sistema afectado. La vulnerabilidad es debido a un control de acceso inapropiado al dominio. Un atacante podría explotar esta vulnerabilidad manipulando cargas útiles JSON para apuntar a diferentes dominios en un sistema afectado. Una explotación con éxito podría permitir al atacante administrar la información del usuario para usuarios en diferentes dominios en un sistema afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2020

Vulnerabilidad en telnet en el firmware de PLANET Technology Corp NVR-915 y NVR-1615 (CVE-2020-26097)
Fecha de publicación:
18/11/2020
Idioma:
Español
** NO SOPORTADO CUANDO SE ASIGNÓ ** El firmware de PLANET Technology Corp NVR-915 y NVR-1615 antes del 28-10-2020 incorpora credenciales predeterminadas para el acceso root por medio de telnet. Al exponer telnet en Internet, es posible el acceso root remoto en el dispositivo. NOTA: Esta vulnerabilidad solo afecta a los productos que ya no son compatibles con el mantenedor
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/08/2024

Vulnerabilidad en las credenciales de usuario en la interfaz de usuario web de Cisco IoT Field Network Director (FND) (CVE-2020-26079)
Fecha de publicación:
18/11/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de usuario web de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto autenticado obtener el hash de contraseñas de los usuarios en un dispositivo afectado. La vulnerabilidad es debido a una protección insuficiente de las credenciales de usuario. Un atacante podría explotar esta vulnerabilidad iniciando sesión como usuario administrativo y diseñando una llamada para obtener información del usuario. Una explotación con éxito podría permitir al atacante obtener el hash de contraseñas de los usuarios en un dispositivo afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2020
Suscribirse a Vulnerabilidades