Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un comando de la CLI relacionado con Virtualization Manager (VMAN) en el sistema operativo Linux subyacente del software Cisco IOS XE (CVE-2019-12661)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en un comando de la CLI relacionado con Virtualization Manager (VMAN) del software Cisco IOS XE, podría permitir a un atacante local autenticado ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con un nivel de privilegio de root. La vulnerabilidad es debido a una comprobación insuficiente de los argumentos pasados ??a un comando específico de CLI de VMAN, en el dispositivo afectado. Un atacante con acceso de administrador a un dispositivo afectado podría explotar esta vulnerabilidad al incluir entradas maliciosas como el argumento de un comando afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo con privilegios root, lo que puede conllevar a un compromiso total del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la función de procesamiento de paquetes de ingreso del software Cisco IOS para Cisco Catalyst 4000 Series Switches (CVE-2019-12652)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en la función de procesamiento de paquetes de ingreso del software Cisco IOS para Cisco Catalyst 4000 Series Switches, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) sobre un dispositivo afectado. La vulnerabilidad es debido a la asignación de recursos inapropiada cuando se procesan paquetes TCP direccionados al dispositivo sobre Cisco Catalyst 4000 Series Switches específicos. Un atacante podría explotar esta vulnerabilidad mediante el envío de secuencias TCP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría causar que el dispositivo afectado se quede sin recursos de almacenamiento intermedio, perjudicando las operaciones del plano de control y los protocolos del plano de administración, resultando en una condición DoS. Esta vulnerabilidad solo puede ser activada por el tráfico que está destinado hacia un dispositivo afectado y no puede ser explotado utilizando el tráfico que transita en un dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2020

Vulnerabilidad en el código de administración de recursos del sistema de archivos del software Cisco IOS XE (CVE-2019-12658)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el código de administración de recursos del sistema de archivos del Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado agotar los recursos del sistema de archivos en un dispositivo afectado y cause una condición de denegación de servicio (DoS). La vulnerabilidad es debido a la gestión ineficaz de los recursos del sistema de archivos subyacentes. Un atacante podría explotar esta vulnerabilidad al llevar a cabo acciones específicas que resulten en el envío de mensajes a archivos de registro específicos del sistema operativo. Una explotación con éxito podría permitir al atacante agotar el espacio disponible del sistema de archivos en un dispositivo afectado. Esto podría causar que el dispositivo se bloquee y se recargue, resultando en una condición DoS para los clientes cuyo tráfico de red transita por el dispositivo. Tras la recarga del dispositivo, el espacio del sistema de archivos afectado se borra y el dispositivo volverá a la operación normal. Sin embargo, la explotación continua de esta vulnerabilidad podría causar bloqueos forzosos y recargas posteriores, lo que podría conllevar a una condición DoS extendida.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2020

Vulnerabilidad en la implementación de TLS en el entorno de la aplicación IOx de múltiples plataformas Cisco (CVE-2019-12656)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el entorno de la aplicación IOx de múltiples plataformas Cisco, podría permitir a un atacante remoto no autenticado causar que el servidor web IOx detenga el procesamiento de peticiones HTTPS, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a un problema de implementación de Transport Layer Security (TLS). Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes TLS diseñados hacia el servidor web IOx en un dispositivo afectado. Una explotación con éxito podría permitir que el atacante cause que el servidor web de IOx detenga el procesamiento de peticiones HTTPS, resultando en una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2020

Vulnerabilidad en la biblioteca común del Session Initiation Protocol (SIP) de los software Cisco IOS y IOS XE (CVE-2019-12654)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en la biblioteca común del Session Initiation Protocol (SIP) de los software Cisco IOS y IOS XE, podría permitir a un atacante remoto no autenticado desencadenar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a insuficientes controles de saneamiento sobre una estructura de datos interna. Un atacante podría explotar esta vulnerabilidad mediante el envío de una secuencia de mensajes SIP maliciosos hacia un dispositivo afectado. Una explotación podría permitir al atacante causar una desreferencia del puntero NULL, resultando en un bloqueo del proceso iosd. Esto desencadena una recarga del dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2023

Vulnerabilidad en los paquetes IPv6 en Unified Threat Defense (UTD) en el Software Cisco IOS XE (CVE-2019-12657)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en Unified Threat Defense (UTD) en el Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar que un dispositivo afectado se recargue. La vulnerabilidad es debido a la comprobación inapropiada de los paquetes IPv6 por medio de la función UTD. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico IPv6 por medio de un dispositivo afectado que esté configurado con UTD. Una explotación con éxito podría permitir al atacante causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2021

Vulnerabilidad en la funcionalidad Raw Socket Transport del software Cisco IOS XE (CVE-2019-12653)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en la funcionalidad Raw Socket Transport del software Cisco IOS XE, podría permitir a un atacante remoto no autenticado desencadenar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido al análisis inapropiado de las cargas útiles de Raw Socket Transport. Un atacante podría explotar esta vulnerabilidad al establecer una sesión TCP y entonces enviar un segmento TCP malicioso por medio de IPv4 hacia un dispositivo afectado. Esto no puede ser explotado por medio de IPv6, ya que la función de Raw Socket Transport no admite IPv6 como protocolo de capa de red.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en la funcionalidad ALG de FTP, utilizada por Network Address Translation (NAT), NAT IPv6 a IPv4 (NAT64) y el Zone-Based Policy Firewall (ZBFW) en Software Cisco IOS XE (CVE-2019-12655)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en la funcionalidad application layer gateway (ALG) de FTP, utilizada por Network Address Translation (NAT), NAT IPv6 a IPv4 (NAT64) y el Zone-Based Policy Firewall (ZBFW) en Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar que un dispositivo afectado se recargue. La vulnerabilidad es debido a un desbordamiento de búfer que ocurre cuando un dispositivo afectado inspecciona determinado tráfico FTP. Un atacante podría explotar esta vulnerabilidad realizando una transferencia FTP específica por medio del dispositivo. Una explotación con éxito podría permitir al atacante causar que el dispositivo se recargue.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Content Navigator de IBM (CVE-2019-4571)
Fecha de publicación:
25/09/2019
Idioma:
Español
Content Navigator versión 3.0CD de IBM es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, lo que altera la funcionalidad prevista que puede conducir a la divulgación de credenciales dentro de una sesión de confianza. ID de IBM X-Force: 166721.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/12/2022

Vulnerabilidad en el ID de sesión en BIG-IP APM Edge Client y BIG-IP APM (CVE-2019-6656)
Fecha de publicación:
25/09/2019
Idioma:
Español
BIG-IP APM Edge Client versiones anteriores a 7.1.8 (7180.2019.508.705) registra el ID completo de la sesión apm en los archivos de registro. Las versiones vulnerables del cliente son incorporadas con las versiones BIG-IP APM 15.0.0 hasta 15.0.1, 14,1.0 hasta 14.1.0.6, 14.0.0 hasta 14.0.0.4, 13.0.0 hasta 13.1.1.5, 12.1.0 hasta 12.1 .5 y 11.5.1 hasta 11.6.5. En BIG-IP APM versión 13.1.0 y posteriores, los componentes de los clientes APM pueden actualizarse independientemente del software BIG-IP. Cliente versión 7.1.8 (7180.2019.508.705) y posterior tiene la corrección.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en una petición de autorización OpenID Connect Issuer en LemonLDAP::NG (CVE-2019-15941)
Fecha de publicación:
25/09/2019
Idioma:
Español
OpenID Connect Issuer en LemonLDAP::NG versiones 2.x hasta 2.0.5, puede permitir a un atacante omitir las reglas del control de acceso por medio de una petición de autorización diseñada de OpenID Connect. Para ser vulnerable, debe existir una parte de Retransmisión de OIDC dentro de la configuración de LemonLDAP con reglas de control de acceso más débiles que el RP destino y sin filtrado en los URI de redireccionamiento.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/05/2025

Vulnerabilidad en la cookie beaker.session.id en un encabezado GET en los archivos *.cache en /var/run/beaker/container_file/ en los dispositivos Ubiquiti EdgeMAX (CVE-2019-16889)
Fecha de publicación:
25/09/2019
Idioma:
Español
Los dispositivos Ubiquiti EdgeMAX versiones anteriores a 2.0.3, permiten a atacantes remotos causar una denegación de servicio (consumo de disco) porque los archivos *.cache en /var/run/beaker/container_file/ son creados cuando se proporciona una carga útil de longitud válida de 249 caracteres o menos para la cookie beaker.session.id en un encabezado GET. El atacante puede utilizar una larga serie de los ID de sesión únicos.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020
Suscribirse a Vulnerabilidades