Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el Virtual Device Server (VDS) en los analizadores de la CLI de Cisco IOS Software para Cisco 809 y 829 Industrial Integrated Services Routers (Industrial ISRs) y Cisco 1000 Series Connected Grid Routers (CGR1000) (CVE-2020-3210)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en los analizadores de la CLI de Cisco IOS Software para Cisco 809 y 829 Industrial Integrated Services Routers (Industrial ISRs) y Cisco 1000 Series Connected Grid Routers (CGR1000), podría permitir a un atacante local autenticado ejecutar comandos de shell arbitrarios en el Virtual Device Server (VDS) de un dispositivo afectado. El atacante debe tener credenciales de usuario válidas en el nivel de privilegio 15. La vulnerabilidad es debido a una comprobación insuficiente de los argumentos que se pasan a comandos específicos de CLI relacionados con VDS. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo objetivo e incluyendo entradas maliciosas como argumento de un comando afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el contexto del shell de VDS de Linux con los privilegios del usuario root.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2020

Vulnerabilidad en los mecanismos de autenticación en Cisco IOS XE SD-WAN Software (CVE-2020-3216)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en Cisco IOS XE SD-WAN Software, podría permitir a un atacante físico no autenticado omitir la autenticación y conseguir acceso sin restricciones al shell root de un dispositivo afectado. La vulnerabilidad se presenta porque el software afectado presenta mecanismos de autenticación insuficientes para determinados comandos. Un atacante podría explotar esta vulnerabilidad al detener la inicialización de arranque de un dispositivo afectado. Una explotación con éxito podría permitir al atacante omitir la autenticación y conseguir acceso sin restricciones al shell root del dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2020

Vulnerabilidad en el controlador criptográfico de hardware de Cisco IOS XE Software para Cisco 4300 Series Integrated Services Routers y Cisco Catalyst 9800-L Wireless Controllers (CVE-2020-3220)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el controlador criptográfico de hardware de Cisco IOS XE Software para Cisco 4300 Series Integrated Services Routers y Cisco Catalyst 9800-L Wireless Controllers, podría permitir a un atacante remoto no autenticado desconectar las sesiones legítimas de VPN IPsec en un dispositivo afectado. La vulnerabilidad es debido a una verificación insuficiente de la autenticidad de los paquetes de Encapsulating Security Payload (ESP) recibidos. Un atacante podría explotar esta vulnerabilidad al alterar los valores de texto sin cifrar ESP como un ataque de tipo man-in-the-middle.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2020

Vulnerabilidad en el Topology Discovery Service de Cisco One Platform Kit (onePK) en Cisco IOS Software, Cisco IOS XE Software, Cisco IOS XR Software, y Cisco NX-OS Software (CVE-2020-3217)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el Topology Discovery Service de Cisco One Platform Kit (onePK) en Cisco IOS Software, Cisco IOS XE Software, Cisco IOS XR Software, y Cisco NX-OS Software, podría permitir a un atacante adyacente no autenticado ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) sobre un dispositivo afectado. La vulnerabilidad es debido a restricciones de longitud insuficientes cuando onePK Topology Discovery Service analiza los mensajes de Cisco Discovery Protocol. Un atacante podría explotar esta vulnerabilidad mediante el envío de un mensaje malicioso de Cisco Discovery Protocol hacia un dispositivo afectado. Una explotación podría permitir a un atacante causar un desbordamiento de la pila, lo que podría permitirle ejecutar código arbitrario con privilegios administrativos, o causar un bloqueo del proceso, lo que podría resultar en una recarga del dispositivo y causar una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2021

Vulnerabilidad en la Interfaz de Usuario web de Cisco IOS XE Software (CVE-2020-3218)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en la Interfaz de Usuario web de Cisco IOS XE Software, podría permitir a un atacante remoto autenticado con privilegios administrativos ejecutar código arbitrario con privilegios root en el shell de Linux subyacente. La vulnerabilidad es debido a una comprobación inapropiada de la entrada suministrada por el usuario. Un atacante podría explotar esta vulnerabilidad al crear primero un archivo malicioso sobre el dispositivo afectado y luego cargando un segundo archivo malicioso sobre el dispositivo. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios root u omitir los requisitos de licencia en el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2021

Vulnerabilidad en la Interfaz de Usuario web de Cisco IOS XE Software (CVE-2020-3219)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en la Interfaz de Usuario web de Cisco IOS XE Software, podría permitir a un atacante remoto autenticado inyectar y ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario en la Interfaz de Usuario web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una entrada diseñada hacia la Interfaz de Usuario web. Una explotación con éxito podría permitir a un atacante ejecutar comandos arbitrarios con privilegios administrativos sobre un dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2021

Vulnerabilidad en parámetros especiales pasados al dispositivo en el arranque inicial en el ROMMON de Cisco IOS XE Software (CVE-2020-3213)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el ROMMON de Cisco IOS XE Software, podría permitir a un atacante local autenticado elevar los privilegios a los del usuario root del sistema operativo subyacente. La vulnerabilidad es debido a que ROMMON permite que sean pasados parámetros especiales al dispositivo en el arranque inicial. Un atacante podría explotar esta vulnerabilidad mediante el envío de parámetros al dispositivo en el arranque inicial. Una explotación podría permitir al atacante elevarse desde un usuario Priv15 a un usuario root y ejecutar comandos arbitrarios con los privilegios del usuario root.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2021

Vulnerabilidad en la carga de software en Cisco IOS XE Software (CVE-2020-3214)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en Cisco IOS XE Software, podría permitir a un atacante local autenticado escalar sus privilegios hacia un usuario con privilegios de nivel root. La vulnerabilidad es debido a una comprobación insuficiente del contenido suministrado por el usuario. Esta vulnerabilidad podría permitir a un atacante cargar software malicioso sobre un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2023

Vulnerabilidad en un OVA en Virtual Services Container de Cisco IOS XE Software (CVE-2020-3215)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el Virtual Services Container de Cisco IOS XE Software, podría permitir a un atacante local autenticado conseguir privilegios de nivel root sobre un dispositivo afectado. La vulnerabilidad es debido a una comprobación insuficiente de un open virtual appliance (OVA) suministrado por el usuario. Un atacante podría explotar esta vulnerabilidad instalando un OVA malicioso sobre un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2021

Vulnerabilidad en el procesamiento de las opciones de inicio en los switches en Cisco IOS XE Software (CVE-2020-3207)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el procesamiento de las opciones de arranque de los switches específicos de Cisco IOS XE Software, podría permitir a un atacante local autenticado con acceso de shell root al sistema operativo (SO) subyacente llevar a cabo un ataque de inyección de comando durante el arranque del dispositivo. Esta vulnerabilidad se debe a comprobaciones de entrada insuficientes al procesar las opciones de arranque. Un atacante podría explotar esta vulnerabilidad al modificar las opciones de arranque del dispositivo para ejecutar el código proporcionado por el atacante. Una explotación con éxito puede permitir a un atacante omitir el proceso de arranque seguro y ejecutar código malicioso sobre un dispositivo afectado con privilegios de nivel root.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/06/2020

Vulnerabilidad en la verificación de la imagen del software en Cisco IOS XE Software (CVE-2020-3209)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en la verificación de la imagen del software en Cisco IOS XE Software, podría permitir a un atacante físico no autenticado instalar y arrancar una imagen de software malicioso o ejecutar archivos binarios sin firmar sobre un dispositivo afectado. La vulnerabilidad es debido a una comprobación inapropiada en el área de código que administra la verificación de las firmas digitales de los archivos de imagen del sistema durante el proceso de arranque inicial. Un atacante podría explotar esta vulnerabilidad al cargar software sin firmar sobre un dispositivo afectado. Una explotación con éxito podría permitir al atacante instalar y arrancar una imagen de software malicioso o ejecutar archivos binarios sin firmar en el dispositivo objetivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2020

Vulnerabilidad en el Tool Command Language (Tcl) de Cisco IOS Software y Cisco IOS XE Software (CVE-2020-3204)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el Tool Command Language (Tcl) de Cisco IOS Software y Cisco IOS XE Software, podría permitir a un atacante local autenticado con credenciales EXEC privilegiadas ejecutar código arbitrario en el sistema operativo (SO) subyacente con privilegios root. La vulnerabilidad es debido a una comprobación de entrada insuficiente de los datos pasados ??al intérprete Tcl. Un atacante podría explotar esta vulnerabilidad al cargar código Tcl malicioso en un dispositivo afectado. Una explotación con éxito podría permitir a un atacante causar una corrupción de la memoria o ejecutar el código con privilegios root en el Sistema Operativo subyacente del dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/09/2021
Suscribirse a Vulnerabilidades