Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HPE Integrated Lights-Out 4 (iLO 4) (CVE-2019-11982)
Fecha de publicación:
05/06/2019
Idioma:
Español
Fue encontrada una vulnerabilidad de tipo cross site scripting remota en HPE Integrated Lights-Out 4 (iLO 4) anterior a la versión 2.61b para servidores Gen9 e Integrated Lights-Out 5 (iLO 5) para servidores Gen10 anteriores a la versión 1.39.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2019

Vulnerabilidad en HPE Integrated Lights-Out 4 (iLO 4) (CVE-2019-11983)
Fecha de publicación:
05/06/2019
Idioma:
Español
Fue encontrada una vulnerabilidad de desbordamiento de búfer remoto en HPE Integrated Lights-Out 4 (iLO 4) anterior a versión 2.61b para servidores Gen9 e Integrated Lights-Out 5 (iLO 5) para servidores Gen10 anteriores a la versión versión 1.39.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2019

Vulnerabilidad en Cisco Unified Communications Manager IM and Presence (Unified CM IM&P) Service, Cisco TelePresence Video Communication Server (VCS), and Cisco Expressway Series (CVE-2019-1845)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en el servicio de identificación de Cisco Unified Communications Manager IM and Presence (Unified CM IM&P) Service, Cisco TelePresence Video Communication Server (VCS), and Cisco Expressway Series, podría permitir a un atacante remoto no identificado causar una interrupción del servicio para usuarios que intentan autenticarse, lo que resulta en una condición de Denegación de Servicio (DoS). La vulnerabilidad es debido a controles insuficientes para operaciones de memoria específicas. Un atacante podría explotar esta vulnerabilidad mediante el envió de una petición de autorización malformada de tipo Extensible Messaging and Presence Protocol (XMPP) hacia un sistema afectado. Una operación con éxito podría permitir al atacante causar un reinicio inesperado del servicio de autenticación, que evitaría que los usuarios identificarse correctamente. La explotación de esta vulnerabilidad no afecta a los usuarios que se autenticaron anterior a un ataque.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en la interfaz de administración basada en la web del Centro de Cisco (CVE-2019-1870)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en la web del Centro de Cisco Enterprise Chat and Email (ECE) podría permitir que un atacante remoto no identificado realice un ataque de scripts entre sitios (XSS) contra un usuario de la interfaz de administración basada en la web de un de un dispositivo afectado. La vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por la interfaz de administración basada en web de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un enlace creado. Una operación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz web o permitir que el atacante acceda a información confidencial basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en TelePresence Video Communication Server (VCS) y Expressway Series de Cisco (CVE-2019-1872)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en los programas TelePresence Video Communication Server (VCS) y Expressway Series de Cisco, podría permitir a un atacante remoto no identificado causar que un sistema afectado envíe peticiones de red arbitrarias. La vulnerabilidad es debido a restricciones inapropiadas en los servicios de red en el programa afectado. Un atacante podría explotar esta vulnerabilidad mediante el envió de peticiones maliciosas al sistema afectado. Una operación con éxito podría permitir al atacante enviar peticiones de red arbitrarias provenientes del sistema afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la utilidad de actualización del BIOS de rack servidores Unified (CVE-2019-1880)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en la utilidad de actualización del BIOS de rack servidores Unified Computing System (UCS) C-Series de Cisco, podría permitir a un atacante local autorizado instalar el firmware del BIOS comprometido en un dispositivo afectado. La vulnerabilidad es debido a una comprobación insuficiente del archivo de imagen del firmware. Un atacante podría explotar esta vulnerabilidad mediante la ejecución de la utilidad de actualización del BIOS con un conjunto específico de opciones. Una operación con éxito podría permitir al atacante omitir el proceso de comprobación de firmas del firmware e instalar el firmware del BIOS comprometido en un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la interfaz de administración basada en la web de Cisco Industrial Network Director (CVE-2019-1881)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Industrial Network Director (IND) podría permitir a un atacante remoto no autorizado realizar un ataque de falsificación de solicitudes entre sitios (CSRF) y realizar acciones arbitrarias en un dispositivo afectado. La vulnerabilidad se debe a las insuficientes protecciones CSRF para la interfaz de administración basada en web del dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que siga un enlace malicioso. Una operación con éxito podría permitir al atacante utilizar un navegador web y los privilegios del usuario para realizar acciones arbitrarias en un dispositivo afectado. Para obtener más información sobre los ataques CSRF y las posibles mitigaciones, consulte Descripción de vectores de amenazas de falsificación de solicitudes entre sitios.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Industrial Network Director (CVE-2019-1882)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en Cisco Industrial Network Director podría permitir a un atacante remoto identificado dirigir ataques de tipo cross-site scripting (XSS) almacenados. La vulnerabilidad es debido a la comprobación inapropiada del contenido enviado a la aplicación afectada. Un atacante podría explotar esta vulnerabilidad mediante el envió de peticiones que contengan valores maliciosos al sistema afectado. Una operación con éxito podría permitir al atacante dirigir ataques XSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la función de autenticación Secure Shell (SSH) (CVE-2019-1842)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en la función de identificación Secure Shell (SSH) del software IOS XR de Cisco, podría permitir a un atacante remoto identificado iniciar sesión correctamente en un dispositivo afectado usando dos nombres de usuario distintos. La vulnerabilidad es debido a un error lógico que puede ocurrir cuando ciertas secuencias de acciones son procesadas durante un evento de inicio de sesión SSH en el dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad mediante el inicio de una sesión SSH en el dispositivo con una secuencia específica que presenta los dos nombres de usuario. Una operación con éxtio podría resultar en el registro de datos falsos, enumeración de usuarios o, en ciertas circunstancias, una omisión de la autorización de comandos. Vea la sección de Detalles para más información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en la función de actualización del software Industrial Network (CVE-2019-1861)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en la función de actualización del software Industrial Network Director de Cisco, podría permitir a un atacante remoto identificado ejecutar código arbitrario. La vulnerabilidad es debido a la comprobación inapropiada de los archivos cargados en la aplicación afectada. Un atacante podría aprovechar esta vulnerabilidad autenticándose en el sistema afectado usando privilegios de administrador y cargando un archivo arbitrario. Una operación con éxito podría permitir al atacante ejecutar código arbitrario muy privilegiado.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en interfaz de administración basada en web de Cisco Webex Meetings Server (CVE-2019-1868)
Fecha de publicación:
05/06/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Webex Meetings Server podría permitir que un atacante remoto no autorizado acceda a información confidencial del sistema. La vulnerabilidad se debe a un control de acceso inadecuado a los archivos dentro de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud maliciosa a un dispositivo afectado. Una operación con éxito podría permitir al atacante acceder a información confidencial del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en la validación incorrecta de los argumentos en la implementación interna (CVE-2019-12553)
Fecha de publicación:
05/06/2019
Idioma:
Español
En SweetScape 010 Editor 9.0.1, la validación incorrecta de los argumentos en la implementación interna de la función StrCat (proporcionada por el motor de scripting) permite que un atacante sobrescriba la memoria arbitraria, lo que podría llevar a la ejecución del código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/08/2020
Suscribirse a Vulnerabilidades