Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la Interfaz de Usuario web del Cisco Firepower Management Center (FMC) Software (CVE-2020-3307)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la Interfaz de Usuario web del Cisco Firepower Management Center (FMC) Software, podría permitir a un atacante remoto no autenticado escribir entradas arbitrarias en el archivo de registro sobre un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante enviar información incorrecta hacia el registro del sistema en el sistema afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2024

Vulnerabilidad en el código del analizador XML del software Cisco Firepower Device Manager On-Box (CVE-2020-3310)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en el código del analizador XML del software Cisco Firepower Device Manager On-Box, podría permitir a un atacante remoto autenticado causar que un sistema afectado se vuelva inestable o se sobrecargue. La vulnerabilidad es debido a un endurecimiento (hardening) insuficiente de la configuración del analizador XML. Un atacante podría explotar esta vulnerabilidad de múltiples maneras usando un archivo malicioso: Un atacante con privilegios administrativos podría cargar un archivo XML malicioso sobre el sistema y causar que el código XML analice el archivo malicioso. Un atacante con acceso VPN Secure Sockets Layer (SSL) sin cliente podría explotar esta vulnerabilidad mediante el envío de un archivo XML diseñado. Una explotación con éxito permitiría a un atacante bloquear el proceso del analizador XML, lo que podría causar inestabilidad del sistema, agotamiento de la memoria y, en algunos casos conllevar a una recarga del sistema afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2021

Vulnerabilidad en las respuestas HTTP en el motor de detección Snort en múltiples productos de Cisco (CVE-2020-3315)
Fecha de publicación:
06/05/2020
Idioma:
Español
Múltiples productos de Cisco están afectados por una vulnerabilidad en el motor de detección Snort que podría permitir a un atacante remoto no autenticado omitir las políticas de archivos configuradas sobre un sistema afectado. La vulnerabilidad es debido a errores en como el motor de detección Snort maneja respuestas HTTP específicas. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes HTTP diseñados que fluirían por medio de un sistema afectado. Una explotación con éxito podría permitir a un atacante omitir las políticas de archivos configuradas y entregar una carga maliciosa a la red protegida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2024

Vulnerabilidad en el botón de la acción habilitar/deshabilitar en el control de acceso basado en roles del Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director, y Cisco UCS Director Express for Big Data (CVE-2020-3329)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en el control de acceso basado en roles del Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director, y Cisco UCS Director Express for Big Data, podría permitir a un atacante remoto autenticado de solo lectura desactivar las cuentas de usuario sobre un sistema afectado. La vulnerabilidad es debido a una asignación incorrecta del botón de la acción habilitar/deshabilitar bajo el código de control de acceso basado en roles sobre un sistema afectado. Un atacante podría explotar esta vulnerabilidad autenticándose como un usuario de solo lectura y luego actualizando los roles de otros usuarios para deshabilitarlos. Una explotación con éxito podría permitir a un atacante deshabilitar a los usuarios, incluidos los usuarios administrativos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2021

Vulnerabilidad en la Interfaz de Usuario web del Cisco Firepower Management Center (FMC) Software (CVE-2020-3302)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la Interfaz de Usuario web del Cisco Firepower Management Center (FMC) Software, podría permitir a un atacante remoto autenticado sobrescribir archivos en el sistema de archivos de un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad al cargar un archivo diseñado en la Interfaz de Usuario web sobre un dispositivo afectado. Una explotación con éxito podría permitir a un atacante sobrescribir archivos en el sistema de archivos del dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/11/2024

Vulnerabilidad en la funcionalidad Internet Key Exchange (IKEv1) del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3303)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad Internet Key Exchange versión 1 (IKEv1) del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS). La vulnerabilidad es debido a una administración inapropiada de la memoria del sistema. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico malicioso IKEv1 hacia un dispositivo afectado. Una explotación con éxito podría permitir a un atacante causar una condición DoS sobre el dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2023

Vulnerabilidad en una alta tasa de tráfico IPv4 o IPv6 en la funcionalidad de procesamiento de paquetes del Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3255)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad de procesamiento de paquetes del Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) sobre un dispositivo afectado. La vulnerabilidad es debido a una administración ineficiente de la memoria. Un atacante podría explotar esta vulnerabilidad mediante el envío de una alta tasa de tráfico IPv4 o IPv6 a través de un dispositivo afectado. Este tráfico necesitaría coincidir con una acción de bloqueo configurada en una política de control de acceso. Una explotación podría permitir a un atacante causar una condición de agotamiento de la memoria en el dispositivo afectado, lo que resultaría en una DoS para el tráfico que transita el dispositivo, así como un rendimiento lento de la interfaz de administración. Una vez que se detiene la inundación, el rendimiento debe volver a los estados anteriores.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2020

Vulnerabilidad en los encabezados HTTP en una URL en el servidor web de Cisco Umbrella (CVE-2020-3246)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en el servidor web de Cisco Umbrella podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de inyección de tipo carriage return line feed (CRLF) contra un usuario de un servicio afectado. La vulnerabilidad es debido a una comprobación insuficiente de la entrada de usuario. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario para que acceda a una URL diseñada. Una explotación con éxito podría permitir a un atacante inyectar encabezados HTTP arbitrarios dentro de respuestas HTTP válidas enviadas hacia el navegador del usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2020

Vulnerabilidad en la configuración de la funcionalidad support tunnel del Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3253)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad support tunnel del Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante local autenticado acceder al shell de un dispositivo afectado aunque el modo expert esté desactivado. La vulnerabilidad es debido a una configuración inapropiada de la funcionalidad support tunnel. Un atacante podría explotar esta vulnerabilidad al habilitar support tunnel, establecer una clave y derivar la contraseña de tunnel. Una explotación con éxito podría permitir a un atacante ejecutar cualquier comando del sistema con acceso root sobre un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2020

Vulnerabilidad en entradas XML External Entity (XXE) en la interfaz de administración basada en web del Cisco Hosted Collaboration Mediation Fulfillment (HCM-F) Software (CVE-2020-3256)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web del Cisco Hosted Collaboration Mediation Fulfillment (HCM-F) Software, podría permitir a un atacante remoto autenticado conseguir acceso de lectura a la información que es almacenada sobre un sistema afectado. Para explotar esta vulnerabilidad, un atacante necesitaría privilegios administrativos en el Cisco HCM-F Software. La vulnerabilidad es debido al manejo inapropiado de entradas XML External Entity (XXE) cuando se analizan determinados archivos XML. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones maliciosas que contienen referencias en entidades XML hacia un sistema afectado. Una explotación con éxito podría permitir a un atacante recuperar archivos desde el sistema local, resultando una divulgación de información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2020

Vulnerabilidad en el análisis de las URL no válidas en la interfaz de servicios web del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3259)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de servicios web del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado recuperar contenido de la memoria sobre un dispositivo afectado, lo que podría conducir a la divulgación de información confidencial . La vulnerabilidad es debido a un problema de rastreo del búfer cuando el software analiza las URL no válidas que son solicitadas desde la interfaz de servicios web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición GET diseñada hacia la interfaz de servicios web. Una explotación con éxito podría permitir a un atacante recuperar el contenido de la memoria, lo que podría conllevar a la divulgación de información confidencial. Nota: Esta vulnerabilidad solo afecta a configuraciones específicas de AnyConnect y WebVPN. Para más información, consulte la sección Vulnerable Products.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2025

Vulnerabilidad en la funcionalidad de inspección de Media Gateway Control Protocol (MGCP) del Cisco Adaptive Security Appliance (ASA) Software y el Firepower Threat Defense (FTD) Software (CVE-2020-3254)
Fecha de publicación:
06/05/2020
Idioma:
Español
Múltiples vulnerabilidades en la funcionalidad de inspección de Media Gateway Control Protocol (MGCP) del Cisco Adaptive Security Appliance (ASA) Software y el Firepower Threat Defense (FTD) Software, podrían permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) sobre un dispositivo afectado. Las vulnerabilidades son debido a una administración ineficiente de la memoria. Un atacante podría explotar estas vulnerabilidades mediante el envío de paquetes MGCP diseñados a través de un dispositivo afectado. Una explotación podría permitir a un atacante causar el agotamiento de la memoria, resultando en un reinicio de un dispositivo afectado, causando una condición DoS para el tráfico que atraviesa el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2023
Suscribirse a Vulnerabilidades