Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la cookie beaker.session.id en un encabezado GET en los archivos *.cache en /var/run/beaker/container_file/ en los dispositivos Ubiquiti EdgeMAX (CVE-2019-16889)
Fecha de publicación:
25/09/2019
Idioma:
Español
Los dispositivos Ubiquiti EdgeMAX versiones anteriores a 2.0.3, permiten a atacantes remotos causar una denegación de servicio (consumo de disco) porque los archivos *.cache en /var/run/beaker/container_file/ son creados cuando se proporciona una carga útil de longitud válida de 249 caracteres o menos para la cookie beaker.session.id en un encabezado GET. El atacante puede utilizar una larga serie de los ID de sesión únicos.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en en el Network Address Translation (NAT) Session Initiation Protocol (SIP) Application Layer Gateway (ALG) del Software Cisco IOS XE (CVE-2019-12646)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el Network Address Translation (NAT) Session Initiation Protocol (SIP) Application Layer Gateway (ALG) del Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar que un dispositivo afectado se recargue. La vulnerabilidad es debido al procesamiento inapropiado de paquetes SIP transitorios en los que se realiza NAT en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad utilizando el puerto UDP 5060 para enviar paquetes SIP diseñados por medio de un dispositivo afectado que está realizando NAT para paquetes SIP. Una explotación con éxito podría permitir a un atacante causar que el dispositivo se recargue, conllevando a una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2023

Vulnerabilidad en la interfaz de usuario basada en web (UI web) del software Cisco IOS XE (CVE-2019-12650)
Fecha de publicación:
25/09/2019
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de usuario basada en web (UI web) del software Cisco IOS XE, podrían permitir a un atacante remoto autenticado ejecutar comandos con privilegios elevados en el dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección de Detalles de este aviso.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2023

Vulnerabilidad en la funcionalidad de Comprobación de Imagen del Software Cisco IOS XE (CVE-2019-12649)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en la funcionalidad de Comprobación de Imagen del Software Cisco IOS XE, podría permitir a un atacante local autenticado instalar y arrancar una imagen de software malicioso o ejecutar archivos binarios sin firmar en un dispositivo afectado. La vulnerabilidad se presenta porque, bajo determinadas circunstancias, un dispositivo afectado puede ser configurado para no comprobar las firmas digitales de los archivos de imagen del sistema durante el proceso de arranque. Un atacante podría explotar esta vulnerabilidad mediante el abuso de una característica específica que forma parte del proceso de arranque del dispositivo. Una explotación con éxito podría permitir al atacante instalar y arrancar una imagen de software malicioso o ejecutar archivos binarios sin firmar en el dispositivo de destino.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la interfaz de usuario basada en web (UI web) del software Cisco IOS XE (CVE-2019-12651)
Fecha de publicación:
25/09/2019
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de usuario basada en web (UI web) del software Cisco IOS XE, podrían permitir a un atacante remoto autenticado ejecutar comandos con privilegios elevados en el dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección de Detalles de este aviso.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en el manejador del protocolo Ident de los Software Cisco IOS y IOS XE (CVE-2019-12647)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el manejador del protocolo Ident de los Software Cisco IOS y IOS XE, podría permitir a un atacante remoto no autenticado causar la recarga de un dispositivo afectado. La vulnerabilidad se presenta porque el software afectado maneja incorrectamente las estructuras de la memoria, lo que conlleva a una desreferencia del puntero NULL. Un atacante podría explotar esta vulnerabilidad abriendo una conexión TCP en puertos específicos y mediante el envío de tráfico por medio de ésta conexión. Una explotación con éxito podría permitir al atacante causar que el dispositivo afectado se recargue, resultando en una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en SO Invitado en el entorno de la aplicación IOx para Software Cisco IOS (CVE-2019-12648)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad en el entorno de la aplicación IOx para Software Cisco IOS, podría permitir a un atacante remoto autenticado conseguir acceso no autorizado al Sistema Operativo Invitado (SO Invitado) que es ejecutado en un dispositivo afectado. La vulnerabilidad es debido a una evaluación incorrecta del control de acceso basado en roles (RBAC) cuando un usuario poco privilegiado solicita acceso a un SO Invitado que debe ser restringida a cuentas administrativas. Un atacante podría explotar esta vulnerabilidad mediante la autenticación en el Sistema Operativo Invitado mediante el empleo de las credenciales de un usuario poco privilegiado. Una explotación podría permitir al atacante conseguir acceso no autorizado al sistema operativo invitado como un usuario root.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en la funcionalidad autocompletion del archivo ajax/autocompletion.php en las cuentas de GLPI (CVE-2019-14666)
Fecha de publicación:
25/09/2019
Idioma:
Español
GLPI versiones hasta 9.4.3, es propenso a la toma de control de cuentas mediante el abuso de la funcionalidad autocompletion del archivo ajax/autocompletion.php. La falta de comprobación correcta conlleva a la recuperación del token generado por medio de la funcionalidad password reset y, por lo tanto, un atacante autenticado puede establecer una contraseña arbitraria para cualquier usuario. Esta vulnerabilidad puede ser explotada para tomar el control de la cuenta de administrador. También se puede abusar de esta vulnerabilidad para obtener otros campos confidenciales como claves de la API o los hashes de contraseñas.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en Flash Clipboard en SilverStripe (CVE-2019-12205)
Fecha de publicación:
25/09/2019
Idioma:
Español
SilverStripe versiones hasta 4.3.3, presenta una vulnerabilidad de tipo XSS Reflejada de Flash Clipboard.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2019

Vulnerabilidad en Martian Address Filtering en la interfaz de administración en el sistema BIG-IP (CVE-2019-6654)
Fecha de publicación:
25/09/2019
Idioma:
Español
En las versiones 14.0.0 hasta 14.1.2, 13.0.0 hasta 13.1.3, 12.1.0 hasta 12.1.5 y 11.5.1 hasta 11.6.5, el sistema BIG-IP no puede realizar el Martian Address Filtering (como se define en RFC 1812 sección 5.3.7) en el plano de control (interfaz de administración). Esto puede permitir a atacantes en un sistema adyacente forzar a BIG-IP a procesar paquetes con direcciones de fuentes falsificadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2019

Vulnerabilidad en el formulario "change password" en SilverStripe (CVE-2019-12203)
Fecha de publicación:
25/09/2019
Idioma:
Español
SilverStripe versiones hasta 4.3.3, permite la fijación de la sesión en el formulario "change password".
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/09/2019

Vulnerabilidad en control de acceso rota en Smart Battery A4, un cargador portátil multifuncional, (CVE-2019-15068)
Fecha de publicación:
25/09/2019
Idioma:
Español
Una vulnerabilidad de control de acceso rota en Smart Battery A4, un cargador portátil multifuncional, versión de firmware anterior o igual a R1.7.9 permite a un atacante obtener / restablecer la contraseña del administrador sin ninguna autenticación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades