Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE) y el Software Cisco RoomOS (CVE-2019-15967)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE) y el Software Cisco RoomOS, podría permitir a un atacante local autenticado habilitar la grabación de audio sin notificar a usuarios. La vulnerabilidad es debido a la presencia de comandos de depuración innecesariamente. Un atacante podría explotar esta vulnerabilidad al conseguir acceso sin restricciones al shell restringido y utilizar los comandos de depuración específicos. Una explotación con éxito podría permitir al atacante habilitar el micrófono de un dispositivo afectado para grabar audio sin notificar a usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en la API REST de Cisco Prime Infrastructure (PI) y Cisco Evolved Programmable Network Manager (EPNM) (CVE-2019-15958)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la API REST de Cisco Prime Infrastructure (PI) y Cisco Evolved Programmable Network Manager (EPNM), podría permitir a un atacante remoto no autenticado ejecutar código arbitrario con privilegios root en el sistema operativo subyacente. La vulnerabilidad es debido a una comprobación de entrada insuficiente durante la configuración inicial de alta disponibilidad (HA) y el proceso de registro de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al cargar un archivo malicioso durante el período de registro de HA. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios de nivel root en el sistema operativo subyacente. Nota: Esta vulnerabilidad solo puede ser explotada durante el período de registro de HA. Vea la sección Detalles para más información.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/10/2020

Vulnerabilidad en el motor de análisis HTTP en la interfaz web del Software Cisco Wireless LAN Controller (CVE-2019-15276)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la interfaz web del Software Cisco Wireless LAN Controller, podría permitir a un atacante remoto, con poco privilegiado y autenticado, causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad se presenta debido a un fallo del motor de análisis HTTP para manejar URL especialmente diseñadas. Un atacante podría explotar esta vulnerabilidad al autenticarse con pocos privilegios en un controlador afectado y enviar la URL diseñada a la interfaz web del dispositivo afectado. Por el contrario, un atacante no autenticado podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz web para cliquear sobre la URL creada. Una explotación con éxito podría permitir al atacante provocar un reinicio inesperado del dispositivo, conllevando a una condición de DoS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/12/2019

Vulnerabilidad en ciertos elementos con una grabación Webex almacenada ya sea en formato ARF o WRF en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows (CVE-2019-15286)
Fecha de publicación:
26/11/2019
Idioma:
Español
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan debido a una comprobación insuficiente de ciertos elementos con una grabación Webex almacenada ya sea en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF). Un atacante podría aprovechar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y al persuadir al usuario a que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario objetivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/12/2019

Vulnerabilidad en la interfaz de administración basada en web de Cisco Industrial Network Director (IND) (CVE-2019-15973)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Industrial Network Director (IND), podría permitir a un atacante remoto no autenticado realizar un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de una aplicación afectada. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario mediante la interfaz de administración basada en web de una aplicación afectada. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz para cliquear sobre un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información basada en el navegador confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/12/2019

Vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE), Cisco TelePresence Codec (TC) y Cisco RoomOS Software (CVE-2019-15288)
Fecha de publicación:
26/11/2019
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE), Cisco TelePresence Codec (TC) y Cisco RoomOS Software, podría permitir a un atacante remoto autenticado escalar privilegios a un usuario sin restricciones del shell restringido. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad al incluir argumentos específicos al abrir una conexión SSH en un dispositivo afectado. Una explotación con éxito podría permitir al atacante conseguir acceso de usuario sin restricciones al shell restringido de un dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2019

Vulnerabilidad en ciertos elementos con una grabación Webex almacenada ya sea en formato ARF o WRF en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows (CVE-2019-15284)
Fecha de publicación:
26/11/2019
Idioma:
Español
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan debido a una comprobación insuficiente de ciertos elementos con una grabación Webex almacenada ya sea en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF). Un atacante podría aprovechar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y al persuadir al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario objetivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2019

Vulnerabilidad en archivos inmutables en Tahoe-LAFS (CVE-2011-3617)
Fecha de publicación:
26/11/2019
Idioma:
Español
Tahoe-LAFS versiones v1.3.0 hasta v1.8.2, podría permitir a usuarios no autorizados eliminar archivos inmutables en algunos casos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en varios métodos en WEBrick::HTTPRequest en Ruby (CVE-2011-3624)
Fecha de publicación:
26/11/2019
Idioma:
Español
Varios métodos en WEBrick::HTTPRequest en Ruby versiones 1.9.2 y versiones 1.8.7 y anteriores, no comprueban los encabezados X-Fordered-For, X-Fordered-Host y X-Fordered-Server en las peticiones, lo que podría permitir a los atacantes remotos inyectar texto arbitrario en archivos de registro o omitir el análisis de direcciones previsto por medio de un encabezado diseñado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en el control de acceso en la consola de administración en JBoss Application Server 7 (CVE-2011-3609)
Fecha de publicación:
26/11/2019
Idioma:
Español
Se encontró un problema CSRF en JBoss Application Server 7 versiones anteriores a 7.1.0. JBoss no restringió apropiadamente el acceso a la información de la consola de administración (por ejemplo, por medio del flag de control de acceso HTTP "Access-Control-Allow-Origin"). Esto puede conllevar a una filtrado de información no autorizado si un usuario con privilegios de administrador visita una página web especialmente diseñada por parte de un atacante remoto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en una página web en la consola de administración de JBoss Application Server 7 (CVE-2011-3606)
Fecha de publicación:
26/11/2019
Idioma:
Español
Se encontró un fallo de tipo cross-site scripting basado en DOM en la consola de administración de JBoss Application Server 7 versiones anteriores 7.1.0 Beta 1. Un atacante remoto podría proveer una página web especialmente diseñada y engañar al usuario AS de JBoss válido, con el privilegio de administrador, para visitarla, lo que conllevaría a la modificación del entorno DOM y a una ejecución de un script web o HTML arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en sentencias DOCTYPE en el endpoint /webtools/control/xmlrpc en el controlador de eventos OFBiz XML-RPC (CVE-2011-3600)
Fecha de publicación:
26/11/2019
Idioma:
Español
El endpoint /webtools/control/xmlrpc en el controlador de eventos OFBiz XML-RPC, está expuesto a External Entity Injection al pasar sentencias DOCTYPE con cargas útiles ejecutables que revelan el contenido de los archivos en el sistema de archivos. Además, también puede ser usado para buscar puertos de red abiertos y averiguar a partir de los mensajes de error devueltos si existe un archivo o no. Esto afecta a OFBiz versiones 16.11.01 hasta 16.11.04.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2024
Suscribirse a Vulnerabilidades