Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la aplicación SNMP e los programas FXOS y NX-OS de Cisco (CVE-2019-1858)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en el procesador de paquetes de entrada del Protocolo de administración de red simple (SNMP) de los programas FXOS y NX-OS de Cisco podría permitir que un atacante remoto no autenticado provoque que la aplicación SNMP pierda memoria en el sistema, lo que podría hacer que un dispositivo afectado se reinicie inesperadamente . La vulnerabilidad se debe a un manejo incorrecto de errores al procesar paquetes SNMP entrantes. Un atacante podría aprovechar esta vulnerabilidad enviando múltiples paquetes SNMP diseñados a un dispositivo afectado. Un aprovechamiento exitoso podría permitir que el atacante haga que la aplicación SNMP pierda memoria del sistema debido a una condición de error manejada incorrectamente durante el procesamiento del paquete. Con el tiempo, esta pérdida de memoria podría hacer que la aplicación SNMP se reinicie varias veces, lo que lleva a un reinicio a nivel del sistema y una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2023

Vulnerabilidad en en en dashboard gadget rendering de Cisco (CVE-2019-1860)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en el procesamiento en dashboard gadget rendering de Cisco Unified Intelligence Center, podría permitir que un atacante remoto no autorizado obtenga o manipule información confidencial entre el navegador de un usuario y el Centro de Inteligencia Unificada de Cisco. La vulnerabilidad es debido a la falta de comprobación del gadget. Un atacante podría explotar esta vulnerabilidad al forzar a un usuario a cargar un gadget malicioso. Una explotación con exito podría permitir al atacante obtener información confidencial, como las credenciales de usuario actuales, o manipular los datos entre el navegador del usuario y el Centro de Inteligencia Unificada de Cisco en el contexto del dispositivo malicioso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2019

Vulnerabilidad en el software Firepower Threat Defense (FTD) de Cisco. (CVE-2019-1832)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en el motor de detección del software Firepower Threat Defense (FTD) de Cisco, podría permitir a un atacante remoto no autorizado omitir las políticas de control de acceso configuradas. La vulnerabilidad es debido a la comprobación inapropiada de los paquetes ICMP. Un atacante podría explotar esta vulnerabilidad enviando paquetes ICMP creados hacia el dispositivo afectado. Una explotación con éxito podría permitir al atacante omitir las políticas de control de acceso configuradas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2024

Vulnerabilidad en Secure Sockets Layer (SSL)/Transport Layer Security (TLS) protocol parser of Cisco Firepower Threat Defense (CVE-2019-1833)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en Secure Sockets Layer (SSL)/Transport Layer Security (TLS) protocol parser of Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autorizado omitir las políticas configuradas. La vulnerabilidad es debido a un análisis incorrecto de atributos específicos en un encabezado de paquete TLS. Un atacante podría explotar esta vulnerabilidad enviando mensajes TLS maliciosos al sistema afectado. Una explotación exito podría permitir al atacante eludir las políticas configuradas para el sistema, lo que podría permitir que el tráfico fluya sin ser inspeccionado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2024

Vulnerabilidad en Multiprotocol Label Switching (MPLS) Operations, Administration, and Maintenance (OAM) implementation of Cisco IOS XR (CVE-2019-1846)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en Multiprotocol Label Switching (MPLS) Operations, Administration, and Maintenance (OAM) implementation of Cisco IOS XR Software for Cisco ASR 9000 Series Aggregation Services Routers, podría permitir que un atacante adyacente sin autorización active una condición de Denegación de Servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido al manejo incorrecto de ciertos paquetes OAM de MPLS. Un atacante podría explotar esta vulnerabilidad enviando paquetes MPLS OAM maliciosos a un dispositivo afectado. Una explotación exito podría permitir al atacante causar el bloqueo del proceso lspv_server. el bloqueo podría provocar la inestabilidad del sistema y la incapacidad de procesar o reenviar el tráfico por medio del dispositivo, resultando en una condición DoS que requiere de la intervención manual para restablecer las condiciones normales de operación.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Border Gateway Patrol (BGP) Multiprotocol Label Switching (MPLS)-based Ethernet VPN (CVE-2019-1849)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en Border Gateway Patrol (BGP) Multiprotocol Label Switching (MPLS)-based Ethernet VPN (EVPN) implementation of Cisco IOS XR Software, podría permitir que un atacante adyacente no autorizado desencadene una condición de Denegación de Servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido a un error lógico que se produce cuando el software afectado procesa información específica de enrutamiento EVPN. Un atacante podría explotar esta vulnerabilidad al inyectar patrones de tráfico maliciosos en la red EVPN seleccionada. Una explotación con éxito podría provocar una caída del proceso l2vpn_mgr en los miembros del dispositivo Provider Edge (PE) de la misma instancia EVPN (EVI). En cada uno de los dispositivos afectados, una falla podría provocar la inestabilidad del sistema y la incapacidad de procesar o reenviar el tráfico por medio del dispositivo, lo que conllevaría en una condición DoS que deber contar con una intervención manual para restablecer las condiciones de operación normales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en ostScan de Cisco AnyConnect Secure Mobility Client para Linux (CVE-2019-1853)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en el componente HostScan de Cisco AnyConnect Secure Mobility Client para Linux podría permitir a un atacante remoto no autorizado leer información confidencial en un sistema afectado. La vulnerabilidad se presenta porque el software afectado realiza comprobaciones de límites inapropiadas. Un atacante podría explotar esta vulnerabilidad creando tráfico HTTP para que el componente afectado lo descargue y procese. Una explotación con éxito podría permitir al atacante leer información confidencial sobre el sistema afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en comando CLI específico en NX-OS de Cisco (CVE-2019-1768)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en la implementación de un comando CLI específico para el programa NX-OS de isco podría permitir que un atacante local autenticado con credenciales de administrador origine una condición de desbordamiento del búfer o realice una inyección de comandos. Esto podría permitir al atacante ejecutar comandos arbitrarios con privilegios elevados en el sistema operativo subyacente de un dispositivo afectado. La vulnerabilidad se debe a una validación insuficiente de los argumentos pasados ??a un determinado comando CLI. Un atacante podría aprovechar esta vulnerabilidad al incluir una entrada maliciosa como el argumento del comando CLI afectado. Un aprovechamiento exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root. Un atacante necesitaría credenciales de administrador válidas para explotar estas vulnerabilidades.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en API de External RESTful Services (ERS) del Cisco Identity Services Engine (ISE). (CVE-2019-1851) (CVE-2019-1851)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en la API de External RESTful Services (ERS) del Cisco Identity Services Engine (ISE), podría permitir a un atacante remoto autenticado generar certificados arbitrarios firmados por los Servicios de la Internal Certificate Authority (CA) en el ISE. Esta vulnerabilidad es debido a una implementación inadecuada del control de acceso basado en roles (RBAC). Un atacante podría explotar esta vulnerabilidad al crear una solicitud HTTP específica con credenciales administrativas. Un explotación exitosa podría permitir al atacante generar un certificado firmado y de confianza por parte de la ISE CA con atributos arbitrarios. El atacante podría usar este certificado para acceder a otras redes o activos que están protegidos por autenticación de certificado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2020

Vulnerabilidad en la interfaz de administración de los programas Cisco Prime Infraestructure y Cisco Evolved Programmable Network (CVE-2019-1818)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en la interfaz de administración web-based del programa Cisco Prime Infrastructure y Cisco Evolved Programmable Network (EPN) podría permitir que un atacante remoto autentificado descargue y vea archivos dentro de la aplicación que deberían estar restringidos. Esta vulnerabilidad se debe a un saneamiento incorrecto de la entrada proporcionada por el usuario en los parámetros de solicitud HTTP que describen los nombres de archivo. Un atacante podría aprovechar esta vulnerabilidad mediante el uso de técnicas de cruce de directorios para enviar una ruta a una ubicación de archivo deseada. Un aprovechamiento exitoso podría permitir al atacante ver archivos de aplicaciones que pueden contener información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2023

Vulnerabilidad en web-based management interface en Prime Infrastructure y Evolved Programmable Network (EPN) de Cisco (CVE-2019-1819)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en web-based management interface del programa Cisco Prime Infrastructure y Cisco Evolved Programmable Network (EPN) podría permitir que un atacante remoto autenticado descargue y vea archivos dentro de la aplicación que deberían estar restringidos. Esta vulnerabilidad se debe a la desinfección incorrecta de la entrada proporcionada por el usuario en los parámetros de solicitud HTTP que describen los nombres de archivo. Un atacante podría aprovechar esta vulnerabilidad mediante el uso de técnicas de cruce de directorios para enviar una ruta a una ubicación de archivo deseada. Un aprovechamiento exitoso podría permitir al atacante ver archivos de aplicaciones que pueden contener información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2023

Vulnerabilidad en web-based management interface en Prime Infrastructure (PI) and Evolved Programmable Network (EPN) Manager de Cisco (CVE-2019-1820)
Fecha de publicación:
16/05/2019
Idioma:
Español
Una vulnerabilidad en la web-based management interface del programa Prime Infrastructure y Evolved Programmable Network (EPN) de Cisco podría permitir que un atacante remoto autenticado descargue y vea archivos dentro de la aplicación que debería estar restringida. Esta vulnerabilidad se debe a la desinfección incorrecta de la entrada proporcionada por el usuario en los parámetros de solicitud HTTP que describen los nombres de archivo. Un atacante podría aprovechar esta vulnerabilidad mediante el uso de técnicas de cruce de directorios para enviar una ruta a una ubicación de archivo deseada. Un aprovechamiento exitoso podría permitir al atacante ver archivos de aplicaciones que pueden contener información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2023
Suscribirse a Vulnerabilidades