Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco Prime Collaboration Provisioning Tool (CVE-2017-6759)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en UpgradeManager del Cisco Prime Collaboration Provisioning Tool 12.1 podría permitir que un atacante remoto autenticado escriba archivos arbitrarios como root en el sistema. Esta vulnerabilidad se debe a una validación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad utilizando la funcionalidad de instalación de paquetes de actualizaciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Finesse (CVE-2017-6761)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión web de Cisco Finesse 10.6(1) y 11.5(1) podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en un dispositivo afectado. Esta vulnerabilidad se debe a la validación insuficiente de entradas de usuario por parte de la interfaz de gestión web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Si se explota esta vulnerabilidad con éxito, el atacante podría ejecutar código script arbitrario en el contexto de la interfaz o acceder a información confidencial del navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Jabber Guest Server (CVE-2017-6762)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión web de Cisco Jabber Guest Server 10.6(9), 11.0(0), y 11.0(1) podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en el software afectado. La vulnerabilidad se debe a la validación insuficiente de entradas de usuario por parte de la interfaz de gestión web del software afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Si se explota esta vulnerabilidad con éxito, el atacante podría ejecutar código script arbitrario en el contexto de la interfaz o acceder a información confidencial del navegador. Cisco Bug IDs: CSCve09718.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Meeting Server (CMS) (CVE-2017-6763)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la implementación del protocolo H.264 en Cisco Meeting Server (CMS) 2.1.4 podría permitir que un atacante remoto sin autenticar provoque una denegación de servicio (DoS) en un sistema afectado. La vulnerabilidad existe porque la aplicación afectada no valida correctamente los paquetes de protocolo Fragmentation Unit (FU-A). Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete H.264 FU-A manipulado usando la aplicación afectada. Una ejecución exitosa de la vulnerabilidad permitiría que el atacante provocase una situación de denegación del servicio en el sistema afectado debido a un reinicio inesperado del proceso CMS media en el sistema. Aunque la plataforma CMS sigue operando y solo se reinicia el proceso CMS media afectado, podría interrumpirse brevemente el tráfico multimedia para ciertos usuarios. Cisco Bug IDs: CSCve10131.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Firepower System Software (CVE-2017-6766)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la funcionalidad Secure Sockets Layer (SSL) Decryption and Inspection de Cisco Firepower System Software 5.4.0, 5.4.1, 6.0.0, 6.1.0, 6.2.0, 6.2.1 y 6.2.2 podría permitir que un atacante remoto sin autenticar eluda la política SSL para descifrar e inspeccionar tráfico en un sistema afectado. La vulnerabilidad se debe a una interacción inesperada con las opciones de configuración Known Key y Decrypt and Resign de las políticas SSL cuando el software afectado recibe cabeceras de paquetes SSL inesperadas. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete SSL manipulado a través de un dispositivo afectado en una sesión SSL válida. Si se explota esta vulnerabilidad con éxito, el atacante podría eludir la política de descifrado e inspección SSL para el sistema afectado, lo que podría permitir que el tráfico fluyese a través del sistema sin ser inspeccionado. Cisco Bug IDs: CSCve12652.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Autonomic Networking de Cisco IOS Software y Cisco IOS XE Software (CVE-2017-6663)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la característica Autonomic Networking de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante no autenticado y en redes adyacentes provoque que los nodos autonómicos de un sistema afectado se vuelvan a cargar, lo que resultaría en una condición de denegación de servicio (DoS). Más información: CSCvd88936. Lanzamientos afectados conocidos: Denali-16.2.1 Denali-16.3.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco IOS Software y Cisco IOS XE Software (CVE-2017-6665)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la funcionalidad Autonomic Networking de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante adyacente sin autenticar reinicie el Autonomic Control Plane (ACP) de un sistema afectado y vea los paquetes ACP que se transfieren sin cifrar dentro de un sistema afectado (vulnerabilidad de divulgación de información). Más información: CSCvd51214. Versiones afectadas conocidas: Denali-16.2.1 Denali-16.3.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Adaptive Security Appliance (ASA) (CVE-2017-6764)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión web de Cisco Adaptive Security Appliance (ASA) 9.5(1) podría permitir que un atacante remoto autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en un dispositivo afectado. La vulnerabilidad se debe a la validación insuficiente de entradas de usuario por parte de la interfaz de gestión web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Si se explota esta vulnerabilidad con éxito, el atacante podría ejecutar código script arbitrario en el contexto de la interfaz o acceder a información confidencial del navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Adaptive Security Appliance (ASA) (CVE-2017-6752)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Cisco Adaptive Security Appliance (ASA) 9.3(3) y 9.6(2) podría permitir que un atacante remoto sin autenticar determine nombres de usuario válidos. El atacante podría utilizar esta información para llevar a cabo ataques de reconocimiento adicionales. La vulnerabilidad se produce debido a la interacción entre Lightweight Directory Access Protocol (LDAP) y SSL Connection Profile cuando se configuran conjuntamente. Un atacante podría explotar la vulnerabilidad mediante la ejecución de un ataque de enumeración de nombres de usuario contra la dirección IP del dispositivo. Un exploit podría permitir que el atacante determine nombres de usuario válidos. Cisco Bug IDs: CSCvd47888.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Adaptive Security Appliance (ASA) (CVE-2017-6765)

Fecha de publicación:
07/08/2017
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión web de Cisco Adaptive Security Appliance (ASA) 9.1(6,11) y 9.4(1.2) podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en un dispositivo afectado, también conocido como WebVPN XSS. La vulnerabilidad se debe a la validación insuficiente de entradas de un usuario por parte de la interfaz de gestión web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Si se explota esta vulnerabilidad con éxito, el atacante podría ejecutar código script arbitrario en el contexto de la interfaz o acceder a información confidencial del navegador. Cisco Bug IDs: CSCve19179.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco IOS, Adaptive Security Appliance (ASA) Software, NX-OS e IOS XE (CVE-2017-6770)

Fecha de publicación:
07/08/2017
Idioma:
Español
Cisco IOS 12.0 en versiones hasta 15.6, Adaptive Security Appliance (ASA) Software 7.0.1 en versiones hasta 9.7.1.2, NX-OS 4.0 en versiones hasta 12.0, e IOS XE 3.6 en versiones hasta 3.18 se han visto afectadas por una vulnerabilidad relacionada con la base de datos Link State Advertisement (LSA) del protocolo de enrutamiento Open Shortest Path First (OSPF). Esta vulnerabilidad podría permitir que un atacante remoto sin autenticar asuma el control total de la tabla de enrutamiento de dominios OSPF Autonomous System (AS). Así, el atacante podría interceptar el tráfico y crear agujeros negros. El atacante podría explotar esta vulnerabilidad mediante la inyección de paquetes OSPF manipulados. La explotación exitosa de esta vulnerabilidad podría hacer que el router objetivo vacíe su tabla de enrutamiento y propague la actualización OSPF LSA type 1 manipulada, mediante el dominio OSPF AS. Para explotar esta vulnerabilidad, un atacante debe determinar con precisión ciertos parámetros en la base de datos LSA del router objetivo. Esta vulnerabilidad solo puede aprovecharse mediante el envío de paquetes OSPF LSA type 1 de unidifusión (unicast) o multidifusión (multicast) manipulados. Ningún otro tipo de paquete LSA presenta esta vulnerabilidad. OSPFv3 no se ha visto afectado por esta vulnerabilidad. El protocolo Fabric Shortest Path First (FSPF) no se ha visto afectado por esta vulnerabilidad. Cisco Bug IDs: CSCva74756, CSCve47393, CSCve47401.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en el subsistema ia64 en el kernel de Linux (CVE-2006-3635)

Fecha de publicación:
07/08/2017
Idioma:
Español
El subsistema ia64 en el kernel de Linux antes de la versión 2.6.26 permite a los usuarios locales causar una denegación de servicio (consumo de pila y caída del sistema) utilizando una aplicación manipulada que aprovecha el uso incorrecto del estado no válido del Register Stack Engine (RSE).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025