Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el Upgrade Assistant en Kibana (CVE-2020-7012)
Fecha de publicación:
03/06/2020
Idioma:
Español
Kibana versiones 6.7.0 hasta 6.8.8 y 7.0.0 hasta 7.6.2, contienen un fallo contaminación de prototipo en el Upgrade Assistant. Un atacante autenticado con privilegios para escribir en el índice de Kibana podría insertar datos que harían que Kibana ejecutara código arbitrario. Esto podría conllevar posiblemente a que un atacante ejecute código con los permisos del proceso de Kibana en el sistema host.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/08/2020

Vulnerabilidad en una petición HTTP en las políticas de eventos en la API de Cisco Application Services Engine Software (CVE-2020-3333)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en la API de Cisco Application Services Engine Software, podría permitir a un atacante remoto no autenticado actualizar las políticas de eventos sobre un dispositivo afectado. La vulnerabilidad es debido a una autenticación insuficiente de los usuarios que modifican las políticas sobre un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al diseñar una petición HTTP maliciosa para contactar a un dispositivo afectado. Una explotación con éxito podría permitir al atacante actualizar las políticas de eventos en el dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2020

Vulnerabilidad en el componente audit logging de Cisco Digital Network Architecture (DNA) Center (CVE-2020-3281)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el componente audit logging de Cisco Digital Network Architecture (DNA) Center, podría permitir a un atacante remoto autenticado visualizar información confidencial en texto sin cifrar. La vulnerabilidad es debido al almacenamiento de determinadas credenciales sin cifrar. Un atacante podría explotar esta vulnerabilidad accediendo a los registros de auditoría y obteniendo credenciales a las que normalmente no tienen acceso. Una explotación con éxito podría permitir al atacante usar esas credenciales para detectar y administrar dispositivos de red.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2020

Vulnerabilidad en el subsistema de la API de Cisco Unified Contact Center Express (Unified CCX) (CVE-2020-3267)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el subsistema de la API de Cisco Unified Contact Center Express (Unified CCX), podría permitir a un atacante remoto autenticado cambiar el estado de disponibilidad de cualquier agente. La vulnerabilidad es debido a una insuficiente aplicación de la autorización sobre un sistema afectado. Un atacante podría explotar esta vulnerabilidad autenticándose sobre un sistema afectado con credenciales de agente válidas y llevando a cabo una llamada API específica con una entrada diseñada. Una explotación con éxito podría permitir al atacante cambiar el estado de disponibilidad de un agente, causando potencialmente una condición de denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2020

Vulnerabilidad en las visualizaciones TSVB en Kibana (CVE-2020-7013)
Fecha de publicación:
03/06/2020
Idioma:
Español
Kibana versiones anteriores a 6.8.9 y 7.7.0, contienen un fallo de contaminación de prototipo en TSVB. Un atacante autenticado con privilegios para crear visualizaciones TSVB podría insertar datos que harían que Kibana ejecute código arbitrario. Esto podría conllevar posiblemente a que un atacante ejecute código con los permisos del proceso de Kibana en el sistema host.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2020

Vulnerabilidad en el almacén de claves en Cisco Application Services Engine Software (CVE-2020-3335)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el almacén de claves de Cisco Application Services Engine Software, podría permitir a un atacante local autenticado leer información confidencial de otros usuarios sobre un dispositivo afectado. La vulnerabilidad es debido a limitaciones de autorización insuficientes. Un atacante podría explotar esta vulnerabilidad al iniciar sesión localmente sobre un dispositivo afectado con credenciales válidas. Una explotación con éxito podría permitir al atacante leer la información confidencial de otros usuarios en el dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2021

Vulnerabilidad en el Virtual Device Server (VDS) en la consola virtual de Cisco IOS Software para Cisco 809 y 829 Industrial Integrated Services Routers (Industrial ISRs) y Cisco 1000 Series Connected Grid Routers (CGR1000) (CVE-2020-3234)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en la autenticación de la consola virtual de Cisco IOS Software para Cisco 809 y 829 Industrial Integrated Services Routers (Industrial ISRs) y Cisco 1000 Series Connected Grid Routers (CGR1000), podría permitir a un atacante local autenticado pero poco privilegiado iniciar sesión en el Virtual Device Server (VDS) de un dispositivo afectado mediante el uso de un conjunto de credenciales predeterminadas. La vulnerabilidad es debido a la presencia de credenciales débiles y embebidas. Un atacante podría explotar esta vulnerabilidad al autenticarse en el dispositivo objetivo y luego conectarse a VDS por medio de la consola virtual device’s usando las credenciales estáticas. Una explotación con éxito podría permitir al atacante acceder al shell de VDS de Linux como usuario root.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2020

Vulnerabilidad en la funcionalidad 802.1X de Cisco Catalyst 2960-L Series Switches y Cisco Catalyst CDB-8P Switches (CVE-2020-3231)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad 802.1X de Cisco Catalyst 2960-L Series Switches y Cisco Catalyst CDB-8P Switches, podría permitir a un atacante adyacente no autenticado reenviar el tráfico de difusión antes de ser autenticado en el puerto. La vulnerabilidad se presenta porque el tráfico de difusión que se recibe en el puerto habilitado para 802.1X se maneja inapropiadamente. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico de difusión en el puerto antes de ser autenticado. Una explotación con éxito podría permitir al atacante enviar y recibir tráfico de difusión en el puerto habilitado para 802.1X antes de la autenticación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2020

Vulnerabilidad en la interfaz Local Manager basada en web de Cisco IOx Application Framework (CVE-2020-3233)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en la interfaz Local Manager basada en web de Cisco IOx Application Framework, podría permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross site scripting (XSS) almacenado contra un usuario de la interfaz Local Manager basada en web de un dispositivo afectado . El atacante debe tener credenciales de administrador local válidas. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario mediante la interfaz Local Manager basada en web del software afectado. Un atacante podría explotar esta vulnerabilidad al inyectar código malicioso en una pestaña de configuración del sistema. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz web afectada o permitirle al atacante acceder a información confidencial basada en navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2020

Vulnerabilidad en un paquete de aplicación en la instancia virtual en el componente Cisco Application Framework del entorno de aplicación Cisco IOx (CVE-2020-3237)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el componente Cisco Application Framework del entorno de aplicación Cisco IOx, podría permitir a un atacante local autenticado sobrescribir archivos arbitrarios en la instancia virtual que se ejecuta en el dispositivo afectado. La vulnerabilidad es debido a una aplicación de restricción de ruta insuficiente. Un atacante podría explotar esta vulnerabilidad al incluir un archivo diseñado en un paquete de aplicación. Una explotación podría permitir al atacante sobrescribir archivos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2020

Vulnerabilidad en la implementación de Simple Network Management Protocol (SNMP) en Cisco ASR 920 Series Aggregation Services Router modelo ASR920-12SZ-IM (CVE-2020-3232)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en la implementación de Simple Network Management Protocol (SNMP) en Cisco ASR 920 Series Aggregation Services Router modelo ASR920-12SZ-IM, podría permitir a un atacante remoto autenticado causar que el dispositivo se vuelva a cargar. La vulnerabilidad es debido al manejo incorrecto de los datos que se devuelven para las consultas de Cisco Discovery Protocol a SNMP. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición de información del Protocolo de descubrimiento de Cisco mediante SNMP. Una explotación podría permitir al atacante causar que el dispositivo afectado se vuelva a cargar, resultando en una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2021

Vulnerabilidad en el subsistema Simple Network Management Protocol (SNMP) de Cisco IOS Software y Cisco IOS XE Software en Catalyst 4500 Series Switches (CVE-2020-3235)
Fecha de publicación:
03/06/2020
Idioma:
Español
Una vulnerabilidad en el subsistema Simple Network Management Protocol (SNMP) de Cisco IOS Software y Cisco IOS XE Software en Catalyst 4500 Series Switches, podría permitir a un atacante remoto autenticado causar una condición de denegación de servicio (DoS). La vulnerabilidad es debido a una comprobación de entrada insuficiente cuando el software procesa identificadores de objetos SNMP específicos. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete SNMP diseñado a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que el dispositivo afectado se vuela a cargar, resultando en una condición DoS. Nota: Para explotar esta vulnerabilidad usando SNMPv2c o anterior, el atacante debe conocer la cadena de comunidad de solo lectura SNMP para un sistema afectado. Para explotar esta vulnerabilidad usando SNMPv3, el atacante debe conocer las credenciales de usuario para el sistema afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2021
Suscribirse a Vulnerabilidades