Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de tráfico de administración hacia una dirección IP en la configuración de listas de acceso de administración del Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3186)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la configuración de listas de acceso de administración del Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado omitir una lista de acceso de la interfaz de administración configurada sobre un sistema afectado. La vulnerabilidad es debido a la configuración de diferentes listas de acceso de administración, con puertos permitidos en una lista de acceso y denegados en otra. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico de administración remota diseñado hacia la dirección IP local de un sistema afectado. Una explotación con éxito podría permitir a un atacante omitir las políticas configuradas de la lista de acceso de administración, y el tráfico a la interfaz de administración no sería denegado apropiadamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2021

Vulnerabilidad en el sistema de archivos en las funciones WebVPN o AnyConnec en la URL HTTP en la interfaz de servicios web del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3187)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de servicios web del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado conducir ataques de tipo salto de directorio y obtener acceso de lectura y eliminación a archivos confidenciales en un sistema apuntado. La vulnerabilidad es debido a una falta de comprobación apropiada de la entrada de la URL HTTP. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada que contenga secuencias de caracteres de salto de directorio. Una explotación podría permitir a un atacante visualizar o eliminar archivos arbitrarios en el sistema apuntado. Cuando el dispositivo es reiniciado después de la explotación de esta vulnerabilidad, todos los archivos que fueron eliminados son restaurados. El atacante solo puede visualizar y eliminar archivos dentro del sistema de archivos de los servicios web. Este sistema de archivos es habilitado cuando el dispositivo afectado es configurado con las funciones WebVPN o AnyConnect. Esta vulnerabilidad no puede ser utilizada para obtener acceso a los archivos del sistema ASA o FTD o los archivos subyacentes del sistema operativo (SO). El reinicio del dispositivo afectado restaurará todos los archivos dentro del sistema de archivos de los servicios web.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/08/2023

Vulnerabilidad en los tiempos de espera de sesión en las conexiones de administración en el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3188)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en como el Cisco Firepower Threat Defense (FTD) Software maneja los tiempos de espera de sesión para las conexiones de administración, podría permitir a un atacante remoto no autenticado causar una acumulación de conexiones de administración remota en un dispositivo afectado, lo que podría resultar en una condición de denegación de servicio (DoS). La vulnerabilidad se presenta porque el período de tiempo de espera de la sesión predeterminada para conexiones de administración remota específicas es demasiado largo. Un atacante podría explotar esta vulnerabilidad mediante el envío de un número grande y sostenido de conexiones de administración remota diseñadas sobre un dispositivo afectado, resultando en una acumulación de esas conexiones sobre el tiempo. Una explotación con éxito podría permitir a un atacante causar que la interfaz de administración remota o el Cisco Firepower Device Manager (FDM) dejen de responder y cause que otras funciones de administración se desconecten, resultando en una condición DoS. El tráfico del usuario que fluye a través del dispositivo no estaría afectado, y la condición DoS estaría aislada para la administración remota solamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2021

Vulnerabilidad en los parámetros de una petición HTTP en la Interfaz de Usuario Gráfica basada en web del Cisco AsyncOS Software para Cisco Content Security Management Appliance (SMA) (CVE-2020-3178)
Fecha de publicación:
06/05/2020
Idioma:
Español
Múltiples vulnerabilidades en la Interfaz de Usuario Gráfica basada en web del Cisco AsyncOS Software para Cisco Content Security Management Appliance (SMA), podrían permitir a un atacante remoto no autenticado redireccionar a un usuario hacia una página web maliciosa. Las vulnerabilidades son debido a una comprobación de entrada inapropiada de los parámetros de una petición HTTP. Un atacante podría explotar estas vulnerabilidades interceptando una petición HTTP y modificándola para redireccionar a un usuario hacia una URL maliciosa específica. Una explotación con éxito podría permitir a un atacante redireccionar a un usuario hacia una página web maliciosa u obtener información confidencial basada en navegador. Este tipo de ataque se conoce comúnmente como un ataque de redireccionamiento abierto y se utiliza en ataques de phishing para que los usuarios visiten sitios maliciosos sin saberlo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2020

Vulnerabilidad en los paquetes GRE sobre IPv6 en la funcionalidad de descapsulación de túnel generic routing encapsulation (GRE) del Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3179)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad de descapsulación de túnel generic routing encapsulation (GRE) del Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) sobre un dispositivo afectado. La vulnerabilidad es debido a un error de manejo de la memoria cuando es procesada la GRE sobre el tráfico IPv6. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes GRE sobre IPv6 diseñados con carga útil de IPv4 o IPv6 a través de un dispositivo afectado. Una explotación con éxito podría permitir a un atacante causar que el dispositivo se bloquee, resultando en una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2020

Vulnerabilidad en el KDC en la funcionalidad de autenticación de Kerberos del Cisco Adaptive Security Appliance (ASA) Software (CVE-2020-3125)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad de autenticación de Kerberos del Cisco Adaptive Security Appliance (ASA) Software, podría permitir a un atacante remoto no autenticado suplantar al centro de distribución de claves (KDC) de Kerberos y omitir la autenticación sobre un dispositivo afectado que esté configurado para realizar la autenticación Kerberos para VPN o acceso local a dispositivos. La vulnerabilidad es debido a una verificación de identidad insuficiente del KDC cuando es recibida una respuesta de autenticación con éxito. Un atacante podría explotar esta vulnerabilidad al suplantar la respuesta del servidor KDC en el dispositivo ASA. Esta respuesta maliciosa no habría sido autenticada por el KDC. Un ataque con éxito podría permitir a un atacante omitir la autenticación de Kerberos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/08/2023

Vulnerabilidad en el archivo /options/mailman en GNU Mailman (CVE-2020-12108)
Fecha de publicación:
06/05/2020
Idioma:
Español
El archivo /options/mailman en GNU Mailman versiones anteriores a 2.1.31, permite una Inyección de Contenido Arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el subsistema de autorización en MongoDB Server (CVE-2020-7921)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una serialización inapropiada del estado interno en el subsistema de autorización en el subsistema de autorización en MongoDB Server, permite a un usuario con credenciales no válidas omitir los mecanismos de protección de lista blanca de IP después de una acción administrativa. Este problema afecta a: MongoDB Inc. MongoDB Server versiones 4.2 anteriores a 4.2.3; versiones 4.0 anteriores a 4.0.15; versiones 4.3 anteriores a 4.3.3; versiones 3.6 anteriores a 3.6.18.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2024

Vulnerabilidad en las restricciones de seguridad en IBM Business Process Manager e IBM Business Automation Workflow (CVE-2020-4446)
Fecha de publicación:
06/05/2020
Idioma:
Español
IBM Business Process Manager versiones 8.0, 8.5 y 8.6 e IBM Business Automation Workflow versiones 18.0 y 19.0, podrían permitir a un atacante remoto omitir las restricciones de seguridad, causadas mediante el fallo al realizar comprobaciones de autorización insuficientes. ID de IBM X-Force: 181126.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/05/2020

Vulnerabilidad en un diseño de protocolo en la aplicación Ledger Monero para dispositivos Ledger Nano y Ledger S (CVE-2020-6861)
Fecha de publicación:
06/05/2020
Idioma:
Español
Un diseño de protocolo defectuoso en la aplicación Ledger Monero versiones anteriores a .5.1, para dispositivos Ledger Nano y Ledger S, permite a un atacante local extraer la clave maestra de gastos mediante el envío de mensajes diseñados a esta aplicación seleccionada en un Ledger de PIN ingresado conectado a una PC host.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en mensajes de error en el procesador de interpolación de mensajes en expresiones EL en Hibernate Validator (CVE-2020-10693)
Fecha de publicación:
06/05/2020
Idioma:
Español
Se encontró un fallo en Hibernate Validator versión 6.1.2.Final. Un error en el procesador de interpolación de mensajes permite evaluar expresiones EL no válidas como si fueran válidas. Este fallo permite a atacantes omitir los controles de saneamiento de entrada (escape, despojo) que los desarrolladores pueden haber implementado cuando manejan datos controlados por el usuario en mensajes de error.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en determinadas peticiones en samba como un servidor Active Directory Domain Controller LDAP (CVE-2020-10704)
Fecha de publicación:
06/05/2020
Idioma:
Español
Se encontró un fallo cuando se usa samba como un Active Directory Domain Controller. Debido a la manera como samba maneja determinadas peticiones como un servidor Active Directory Domain Controller LDAP, un usuario no autorizado puede causar un desbordamiento de la pila conllevando a una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema. Este problema afecta a todas las versiones de samba anteriores a 4.10.15, anteriores a 4.11.8 y anteriores a 4.12.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades