Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en comandos de la CLI en Cisco Remote PHY Device Software (CVE-2020-3176)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en Cisco Remote PHY Device Software, podría permitir a un atacante local autenticado ejecutar comandos en el shell de Linux subyacente de un dispositivo afectado con privilegios root. La vulnerabilidad se presenta porque el software afectado no sanea apropiadamente la entrada suministrada por el usuario. Un atacante que tenga acceso de administrador válido a un dispositivo afectado podría explotar esta vulnerabilidad al proporcionar determinados comandos de la CLI con argumentos diseñados. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios como usuario root, lo que podría resultar en un compromiso completo del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2020

Vulnerabilidad en un correo electrónico en la funcionalidad de detección de malware en Cisco Advanced Malware Protection (AMP) en Cisco AsyncOS Software para Cisco Email Security Appliances (ESAs) (CVE-2020-3181)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad de detección de malware en Cisco Advanced Malware Protection (AMP) en Cisco AsyncOS Software para Cisco Email Security Appliances (ESAs), podría permitir a un atacante remoto no autenticado agotar los recursos en un dispositivo afectado. La vulnerabilidad es debido a un control insuficiente sobre la asignación de la memoria del sistema. Un atacante podría explotar esta vulnerabilidad mediante el envío de un correo electrónico diseñado por medio del dispositivo de destino. Una explotación con éxito podría permitir al atacante causar que un archivo adjunto de correo electrónico que contiene malware sea entregado a un usuario y cause retardos en el procesamiento del correo electrónico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2020

Vulnerabilidad en un enlace en la interfaz de administración basada en web de Cisco Prime Collaboration Provisioning (CVE-2020-3192)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Collaboration Provisioning, podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de administración basada en web. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario mediante la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz para que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2020

Vulnerabilidad en la interfaz de administración basada en web de Cisco TelePresence Management Suite (TMS) (CVE-2020-3185)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco TelePresence Management Suite (TMS), podría permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de administración basada en web. La vulnerabilidad es debido a una comprobación de entrada insuficiente por parte de la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad insertando datos maliciosos en un campo de datos específico en la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz de administración basada en web afectada o acceder a información confidencial basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2020

Vulnerabilidad en /wp-admin/admin.php?page=cpabc_appointments.php en el plugin Appointment Booking Calendar para WordPress (CVE-2020-9372)
Fecha de publicación:
04/03/2020
Idioma:
Español
El plugin Appointment Booking Calendar versiones anteriores a 1.3.35 para WordPress, permite que la entrada de usuario sea cualquier fórmula (en campos tales como Description o Name) en cualquier formulario de reserva, que luego podría ser exportado por medio de la pestaña Bookings list en /wp-admin/admin.php?page=cpabc_appointments.php. El atacante podría lograr la ejecución remota de código por medio de una inyección CSV.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en la configuración del protocolo DNS multidifusión (mDNS) de Cisco Webex Meetings Client para MacOS (CVE-2020-3182)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la configuración del protocolo DNS multidifusión (mDNS) de Cisco Webex Meetings Client para MacOS, podría permitir a un atacante adyacente no autenticado obtener información confidencial sobre el dispositivo en el que se ejecuta el cliente Webex. La vulnerabilidad se presenta porque la información confidencial se incluye en la respuesta en mDNS. Un atacante podría explotar esta vulnerabilidad al hacer una consulta en mDNS para un servicio en particular contra un dispositivo afectado. Una explotación con éxito podría permitir al atacante conseguir acceso a información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/05/2020

Vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Collaboration Provisioning (CVE-2020-3193)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Collaboration Provisioning, podría permitir a un atacante remoto no autenticado obtener información confidencial sobre un dispositivo afectado. La vulnerabilidad se presenta porque las respuestas de la interfaz de administración basada en web incluyen información del servidor innecesaria. Un atacante podría explotar esta vulnerabilidad mediante la inspección de las respuestas recibidas de la interfaz de administración basada en web. Una explotación con éxito podría permitir al atacante obtener detalles sobre el sistema operativo, incluyendo la versión del servidor web que se ejecuta en el dispositivo, lo que podría ser usado para llevar a cabo más ataques.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2020

Vulnerabilidad en mensajes de error ICMP en el procesador de paquetes IPsec de Cisco IOS XR Software (CVE-2020-3190)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en el procesador de paquetes IPsec de Cisco IOS XR Software, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) para sesiones IPsec en un dispositivo afectado. La vulnerabilidad es debido al manejo inapropiado de los paquetes por parte del procesador de paquetes IPsec. Un atacante podría explotar esta vulnerabilidad mediante el envío de mensajes de error ICMP maliciosos hacia un dispositivo afectado que se someterán al procesador de paquetes IPsec. Una explotación con éxito podría permitir al atacante agotar la memoria de IPsec, resultando en que todos los futuros paquetes de IPsec a un dispositivo afectado sean descartados por el dispositivo. Es requerida una intervención manual para recuperarse de esta situación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2020

Vulnerabilidad en el archivo cpabc_appointments.php en la entrada Calendar Name en el plugin Appointment Booking Calendar para WordPress (CVE-2020-9371)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad de tipo XSS almacenado, se presenta en el plugin Appointment Booking Calendar versiones anteriores a 1.3.35 para WordPress. En el archivo cpabc_appointments.php, la entrada Calendar Name podría permitir a atacantes inyectar JavaScript o HTML arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/10/2022

Vulnerabilidad en una configuración en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2020-3157)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE), podría permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz basada en web. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad al diseñar una configuración maliciosa y guardarla en el sistema de destino. Una explotación podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador cuando un administrador visualiza la configuración. Un atacante necesitaría permisos de escritura para explotar esta vulnerabilidad con éxito.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2020

Vulnerabilidad en encabezados de petición HTTP en la interfaz de administración basada en web de Cisco AsyncOS para Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) y Cisco Content Security Management Appliance (SMA) (CVE-2020-3164)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco AsyncOS para Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) y Cisco Content Security Management Appliance (SMA), podría permitir a un atacante remoto no autenticado causar una alta utilización de la CPU en un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a una comprobación inapropiada de encabezados de petición HTTP específicos. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP malformada en un dispositivo afectado. Una explotación con éxito podría permitir al atacante activar un estado prolongado de alta utilización de la CPU relativo a los procesos de la GUI. Tras la explotación con éxito de esta vulnerabilidad, un dispositivo afectado aún estará operativo, pero su tiempo de respuesta y desempeño general pueden ser degradados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2020

Vulnerabilidad en los dispositivos de video Cisco Webex y los endpoints de colaboración de Cisco en la implementación SSL de la solución Cisco Intelligent Proximity (CVE-2020-3155)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la implementación SSL de la solución Cisco Intelligent Proximity, podría permitir a un atacante remoto no autenticado visualizar o modificar la información compartida en los dispositivos de video Cisco Webex y los endpoints de colaboración de Cisco si los productos cumplen con las condiciones descritas en la sección de Productos Vulnerables. La vulnerabilidad es debido a la falta de comprobación del certificado del servidor SSL recibido cuando se establece una conexión a un dispositivo de video Cisco Webex o un endpoint de colaboración de Cisco. Un atacante podría explotar esta vulnerabilidad al usar técnicas de tipo man in the middle (MITM) para interceptar el tráfico entre el cliente afectado y un endpoint, y luego utilizar un certificado falsificado para suplantar el endpoint. Dependiendo de la configuración del endpoint, una explotación podría permitir al atacante visualizar el contenido de presentación compartido en él, modificar cualquier contenido presentado por la víctima o tener acceso a los controles de llamadas. Esta vulnerabilidad no afecta a los endpoints de colaboración registrados en la nube.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020
Suscribirse a Vulnerabilidades