Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en contraseñas embebidas en Baxter Sigma Spectrum Infusion Pumps Sigma Spectrum Infusion System y Baxter Spectrum Infusion System (CVE-2020-12039)
Fecha de publicación:
29/06/2020
Idioma:
Español
Baxter Sigma Spectrum Infusion Pumps Sigma Spectrum Infusion System versiones v's6.x modelo 35700BAX y Baxter Spectrum Infusion System versiones v's8.x modelo 35700BAX2, contienen contraseñas embebidas cuando se ingresan físicamente en el teclado proporcionan acceso a menús biomédicos que incluyen configuraciones de dispositivos, visualizar valores de calibración, configuración de red de Sigma Spectrum WBM si está instalado
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2020

Vulnerabilidad en un canal de comunicación en la capa de aplicación en las medidas de seguridad de la red en Sigma Spectrum Infusion System y Baxter Spectrum Infusion System (CVE-2020-12040)
Fecha de publicación:
29/06/2020
Idioma:
Español
Sigma Spectrum Infusion System versiones v's6.x (modelo 35700BAX) y Baxter Spectrum Infusion System versiones 8.x (modelo 35700BAX2), en la capa de aplicación utilizan un canal de comunicación de texto sin cifrar no autenticado para enviar y recibir el estado del sistema y los datos operativos. Esto podría permitir a un atacante que haya eludido las medidas de seguridad de la red visualizar datos confidenciales no privados o llevar a cabo un ataque de tipo man-in-the-middle
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2020

Vulnerabilidad en credenciales embebidas de cuenta administrativa en Baxter ExactaMix EM 2400 y EM 1200 (CVE-2020-12012)
Fecha de publicación:
29/06/2020
Idioma:
Español
Baxter ExactaMix EM 2400 y EM 1200, Versiones ExactaMix EM2400 Versiones 1.10, 1.11, 1.13, 1.14, ExactaMix EM1200 Versiones 1.1, 1.2, 1.4, 1.5, Baxter ExactaMix EM 2400 Versiones 1.10, 1.11 y 1.13, y ExactaMix EM1200 Versiones 1.1, 1.2 y 1.4, poseen credenciales embebidas de cuenta administrativa para la aplicación ExactaMix. Una explotación con éxito de esta vulnerabilidad puede permitir que un atacante con acceso físico consiga acceso no autorizado para visualizar y actualizar la configuración o los datos del sistema. Esto podría afectar la confidencialidad e integridad del sistema y el riesgo de exposición de información confidencial, incluyendo la PHI
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2020

Vulnerabilidad en el script de inicio de la aplicación Baxter ExactaMix EM y ExactaMix EM (CVE-2020-12020)
Fecha de publicación:
29/06/2020
Idioma:
Español
Baxter ExactaMix EM 2400 Versiones 1.10, 1.11 y 1.13 y ExactaMix EM1200 Versiones 1.1, 1.2 y 1.4, no restringe que los usuarios no administrativos consigan acceso al sistema operativo y editen el script de inicio de la aplicación. Una explotación con éxito de esta vulnerabilidad puede permitir a un atacante alterar el script de inicio como el usuario de acceso limitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2020

Vulnerabilidad en un servicio Telnet en el Puerto 1023 en Baxter Spectrum WBM (CVE-2020-12045)
Fecha de publicación:
29/06/2020
Idioma:
Español
El Baxter Spectrum WBM (versiones v17, v20D29, v20D30, v20D31 y v22D24) cuando es usado junto con un Baxter Spectrum versión v8.x (modelo 35700BAX2), opera un servicio Telnet en el Puerto 1023 con credenciales embebidas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en el servicio FTP en redes inalámbricas en Baxter Spectrum WBM (CVE-2020-12043)
Fecha de publicación:
29/06/2020
Idioma:
Español
El Baxter Spectrum WBM (versiones v17, v20D29, v20D30, v20D31 y v22D24) cuando está configurado para redes inalámbricas, el servicio FTP que opera en el WBM permanece operativo hasta que el WBM es reiniciado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en un servicio FTP en una configuración inalámbrica en Baxter Spectrum WBM (CVE-2020-12047)
Fecha de publicación:
29/06/2020
Idioma:
Español
El Baxter Spectrum WBM (versiones v17, v20D29, v20D30, v20D31 y v22D24), cuando es usado con un Baxter Spectrum versión v8.x (modelo 35700BAX2), en una configuración inalámbrica predeterminada de fábrica, permite un servicio FTP con credenciales embebidas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2020

Vulnerabilidad en la autenticación mutua en BIOTRONIK CardioMessenger II (CVE-2019-18246)
Fecha de publicación:
29/06/2020
Idioma:
Español
BIOTRONIK CardioMessenger II, los productos afectados no aplican correctamente la autenticación mutua con la infraestructura de comunicación remota de BIOTRONIK
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2021

Vulnerabilidad en cambio a canal de comunicación cifrado en BIOTRONIK CardioMessenger II (CVE-2019-18248)
Fecha de publicación:
29/06/2020
Idioma:
Español
BIOTRONIK CardioMessenger II, los productos afectados transmiten credenciales en texto sin cifrar antes de cambiar a un canal de comunicación cifrado. Un atacante puede revelar las credenciales del cliente del producto para conectarse a la infraestructura de Comunicación Remota de BIOTRONIK
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2021

Vulnerabilidad en la reutilización de credenciales en acceso adyacente al BIOTRONIK CardioMessenger II (CVE-2019-18252)
Fecha de publicación:
29/06/2020
Idioma:
Español
BIOTRONIK CardioMessenger II, los productos afectados permiten la reutilización de credenciales para múltiples propósitos de autenticación. Un atacante con acceso adyacente al CardioMessenger puede revelar sus credenciales usadas para conectarse a la infraestructura de Comunicación Remota de BIOTRONIK
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2021

Vulnerabilidad en acceso físico al BIOTRONIK CardioMessenger II (CVE-2019-18254)
Fecha de publicación:
29/06/2020
Idioma:
Español
BIOTRONIK CardioMessenger II, los productos afectados no cifran información confidencial mientras están en reposo. Un atacante con acceso físico al CardioMessenger puede revelar datos de mediciones médicas y el número de serie del dispositivo cardíaco implantado con que el CardioMessenger está emparejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/10/2021

Vulnerabilidad en credenciales individuales en formato recuperable en BIOTRONIK CardioMessenger II (CVE-2019-18256)
Fecha de publicación:
29/06/2020
Idioma:
Español
BIOTRONIK CardioMessenger II, los productos afectados usan credenciales individuales por dispositivo que son almacenan en un formato recuperable. Un atacante con acceso físico al CardioMessenger puede usar estas credenciales para la autenticación de red y el descifrado de datos locales en tránsito
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/10/2021
Suscribirse a Vulnerabilidades