Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en /wp-admin/admin.php?page=cpabc_appointments.php en el plugin Appointment Booking Calendar para WordPress (CVE-2020-9372)
Fecha de publicación:
04/03/2020
Idioma:
Español
El plugin Appointment Booking Calendar versiones anteriores a 1.3.35 para WordPress, permite que la entrada de usuario sea cualquier fórmula (en campos tales como Description o Name) en cualquier formulario de reserva, que luego podría ser exportado por medio de la pestaña Bookings list en /wp-admin/admin.php?page=cpabc_appointments.php. El atacante podría lograr la ejecución remota de código por medio de una inyección CSV.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en la configuración del protocolo DNS multidifusión (mDNS) de Cisco Webex Meetings Client para MacOS (CVE-2020-3182)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la configuración del protocolo DNS multidifusión (mDNS) de Cisco Webex Meetings Client para MacOS, podría permitir a un atacante adyacente no autenticado obtener información confidencial sobre el dispositivo en el que se ejecuta el cliente Webex. La vulnerabilidad se presenta porque la información confidencial se incluye en la respuesta en mDNS. Un atacante podría explotar esta vulnerabilidad al hacer una consulta en mDNS para un servicio en particular contra un dispositivo afectado. Una explotación con éxito podría permitir al atacante conseguir acceso a información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/05/2020

Vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Collaboration Provisioning (CVE-2020-3193)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Collaboration Provisioning, podría permitir a un atacante remoto no autenticado obtener información confidencial sobre un dispositivo afectado. La vulnerabilidad se presenta porque las respuestas de la interfaz de administración basada en web incluyen información del servidor innecesaria. Un atacante podría explotar esta vulnerabilidad mediante la inspección de las respuestas recibidas de la interfaz de administración basada en web. Una explotación con éxito podría permitir al atacante obtener detalles sobre el sistema operativo, incluyendo la versión del servidor web que se ejecuta en el dispositivo, lo que podría ser usado para llevar a cabo más ataques.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2020

Vulnerabilidad en mensajes de error ICMP en el procesador de paquetes IPsec de Cisco IOS XR Software (CVE-2020-3190)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en el procesador de paquetes IPsec de Cisco IOS XR Software, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) para sesiones IPsec en un dispositivo afectado. La vulnerabilidad es debido al manejo inapropiado de los paquetes por parte del procesador de paquetes IPsec. Un atacante podría explotar esta vulnerabilidad mediante el envío de mensajes de error ICMP maliciosos hacia un dispositivo afectado que se someterán al procesador de paquetes IPsec. Una explotación con éxito podría permitir al atacante agotar la memoria de IPsec, resultando en que todos los futuros paquetes de IPsec a un dispositivo afectado sean descartados por el dispositivo. Es requerida una intervención manual para recuperarse de esta situación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2020

Vulnerabilidad en el archivo cpabc_appointments.php en la entrada Calendar Name en el plugin Appointment Booking Calendar para WordPress (CVE-2020-9371)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad de tipo XSS almacenado, se presenta en el plugin Appointment Booking Calendar versiones anteriores a 1.3.35 para WordPress. En el archivo cpabc_appointments.php, la entrada Calendar Name podría permitir a atacantes inyectar JavaScript o HTML arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/10/2022

Vulnerabilidad en una configuración en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2020-3157)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE), podría permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz basada en web. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad al diseñar una configuración maliciosa y guardarla en el sistema de destino. Una explotación podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador cuando un administrador visualiza la configuración. Un atacante necesitaría permisos de escritura para explotar esta vulnerabilidad con éxito.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2020

Vulnerabilidad en encabezados de petición HTTP en la interfaz de administración basada en web de Cisco AsyncOS para Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) y Cisco Content Security Management Appliance (SMA) (CVE-2020-3164)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco AsyncOS para Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) y Cisco Content Security Management Appliance (SMA), podría permitir a un atacante remoto no autenticado causar una alta utilización de la CPU en un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a una comprobación inapropiada de encabezados de petición HTTP específicos. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP malformada en un dispositivo afectado. Una explotación con éxito podría permitir al atacante activar un estado prolongado de alta utilización de la CPU relativo a los procesos de la GUI. Tras la explotación con éxito de esta vulnerabilidad, un dispositivo afectado aún estará operativo, pero su tiempo de respuesta y desempeño general pueden ser degradados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2020

Vulnerabilidad en los dispositivos de video Cisco Webex y los endpoints de colaboración de Cisco en la implementación SSL de la solución Cisco Intelligent Proximity (CVE-2020-3155)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la implementación SSL de la solución Cisco Intelligent Proximity, podría permitir a un atacante remoto no autenticado visualizar o modificar la información compartida en los dispositivos de video Cisco Webex y los endpoints de colaboración de Cisco si los productos cumplen con las condiciones descritas en la sección de Productos Vulnerables. La vulnerabilidad es debido a la falta de comprobación del certificado del servidor SSL recibido cuando se establece una conexión a un dispositivo de video Cisco Webex o un endpoint de colaboración de Cisco. Un atacante podría explotar esta vulnerabilidad al usar técnicas de tipo man in the middle (MITM) para interceptar el tráfico entre el cliente afectado y un endpoint, y luego utilizar un certificado falsificado para suplantar el endpoint. Dependiendo de la configuración del endpoint, una explotación podría permitir al atacante visualizar el contenido de presentación compartido en él, modificar cualquier contenido presentado por la víctima o tener acceso a los controles de llamadas. Esta vulnerabilidad no afecta a los endpoints de colaboración registrados en la nube.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en un enlace en la interfaz basada en web de Cisco Prime Network Registrar (CPNR) (CVE-2020-3148)
Fecha de publicación:
04/03/2020
Idioma:
Español
Una vulnerabilidad en la interfaz basada en web de Cisco Prime Network Registrar (CPNR), podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross-site request forgery (CSRF) sobre un sistema afectado. La vulnerabilidad es debido a insuficientes protecciones de CSRF en la interfaz basada en web. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario apuntado, con una sesión administrativa activa en el dispositivo afectado, para hacer clic en un enlace malicioso. Una explotación con éxito podría permitir a un atacante cambiar la configuración del dispositivo, lo que podría incluir la capacidad de editar o crear cuentas de usuario de cualquier nivel de privilegio. Algunos cambios en la configuración del dispositivo podrían impactar negativamente la disponibilidad de los servicios de red para otros dispositivos en redes administradas por CPNR.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en el control de acceso en el "token" en GeniXCMS (CVE-2020-10057)
Fecha de publicación:
04/03/2020
Idioma:
Español
GeniXCMS versión 1.1.7, es vulnerable a una escalada de privilegios de usuario debido a un control de acceso roto. Este problema se presenta debido a una corrección incompleta para CVE-2015-2680, en la cual el "token" es usado como un mecanismo de protección de tipo CSRF, pero sin la comprobación de que el "token" está asociado con un usuario administrativo.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en una grabación de Webex que se almacena en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF) en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows (CVE-2020-3127)
Fecha de publicación:
04/03/2020
Idioma:
Español
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows, podrían permitir a un atacante ejecutar código arbitrario sobre un sistema afectado. Las vulnerabilidades son debido a una comprobación insuficiente de determinados elementos dentro de una grabación de Webex que se almacena en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF). Un atacante podría explotar estas vulnerabilidades mediante el envío de un archivo ARF o WRF malicioso hacia un usuario por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020

Vulnerabilidad en una grabación de Webex que es almacenada en formato ARF o WRF en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows (CVE-2020-3128)
Fecha de publicación:
04/03/2020
Idioma:
Español
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows, podrían permitir a un atacante ejecutar código arbitrario sobre un sistema afectado. Las vulnerabilidades son debido a una comprobación insuficiente de determinados elementos dentro de una grabación de Webex que es almacenada en el Advanced Recording Format (ARF) o el Webex Recording Format (WRF). Un atacante podría explotar estas vulnerabilidades mediante el envío de un archivo ARF o WRF malicioso hacia un usuario por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario apuntado.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2020
Suscribirse a Vulnerabilidades