Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de tráfico de administración hacia una dirección IP en la configuración de listas de acceso de administración del Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3186)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la configuración de listas de acceso de administración del Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado omitir una lista de acceso de la interfaz de administración configurada sobre un sistema afectado. La vulnerabilidad es debido a la configuración de diferentes listas de acceso de administración, con puertos permitidos en una lista de acceso y denegados en otra. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico de administración remota diseñado hacia la dirección IP local de un sistema afectado. Una explotación con éxito podría permitir a un atacante omitir las políticas configuradas de la lista de acceso de administración, y el tráfico a la interfaz de administración no sería denegado apropiadamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2021

Vulnerabilidad en el sistema de archivos en las funciones WebVPN o AnyConnec en la URL HTTP en la interfaz de servicios web del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3187)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de servicios web del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado conducir ataques de tipo salto de directorio y obtener acceso de lectura y eliminación a archivos confidenciales en un sistema apuntado. La vulnerabilidad es debido a una falta de comprobación apropiada de la entrada de la URL HTTP. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada que contenga secuencias de caracteres de salto de directorio. Una explotación podría permitir a un atacante visualizar o eliminar archivos arbitrarios en el sistema apuntado. Cuando el dispositivo es reiniciado después de la explotación de esta vulnerabilidad, todos los archivos que fueron eliminados son restaurados. El atacante solo puede visualizar y eliminar archivos dentro del sistema de archivos de los servicios web. Este sistema de archivos es habilitado cuando el dispositivo afectado es configurado con las funciones WebVPN o AnyConnect. Esta vulnerabilidad no puede ser utilizada para obtener acceso a los archivos del sistema ASA o FTD o los archivos subyacentes del sistema operativo (SO). El reinicio del dispositivo afectado restaurará todos los archivos dentro del sistema de archivos de los servicios web.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/08/2023

Vulnerabilidad en los tiempos de espera de sesión en las conexiones de administración en el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3188)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en como el Cisco Firepower Threat Defense (FTD) Software maneja los tiempos de espera de sesión para las conexiones de administración, podría permitir a un atacante remoto no autenticado causar una acumulación de conexiones de administración remota en un dispositivo afectado, lo que podría resultar en una condición de denegación de servicio (DoS). La vulnerabilidad se presenta porque el período de tiempo de espera de la sesión predeterminada para conexiones de administración remota específicas es demasiado largo. Un atacante podría explotar esta vulnerabilidad mediante el envío de un número grande y sostenido de conexiones de administración remota diseñadas sobre un dispositivo afectado, resultando en una acumulación de esas conexiones sobre el tiempo. Una explotación con éxito podría permitir a un atacante causar que la interfaz de administración remota o el Cisco Firepower Device Manager (FDM) dejen de responder y cause que otras funciones de administración se desconecten, resultando en una condición DoS. El tráfico del usuario que fluye a través del dispositivo no estaría afectado, y la condición DoS estaría aislada para la administración remota solamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2021

Vulnerabilidad en la funcionalidad VPN System Logging para el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3189)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la funcionalidad VPN System Logging para el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado causar una pérdida de memoria que puede agotar la memoria del sistema con el tiempo, lo que puede causar comportamientos inesperados del sistema o bloqueos del dispositivo. La vulnerabilidad es debido a que la memoria del sistema no está siendo liberada apropiadamente para un evento de la VPN System Logging cuando es creada o eliminada una sesión VPN. Un atacante podría explotar esta vulnerabilidad creando o eliminando repetidamente una conexión de túnel VPN, lo cual podría filtrar una pequeña cantidad de memoria del sistema para cada evento de registro. Una explotación con éxito podría permitir a un atacante causar el agotamiento de la memoria del sistema, lo que puede conllevar a una condición de denegación de servicio (DoS) en todo el sistema. El atacante no posee ningún control sobre si VPN System Logging está configurado o no en el dispositivo, pero está habilitado por defecto.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2021

Vulnerabilidad en el procesamiento de paquetes DNS sobre IPv6 para el Cisco Adaptive Security Appliance (ASA) Software y el Firepower Threat Defense (FTD) Software (CVE-2020-3191)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en el procesamiento de paquetes DNS sobre IPv6 para el Cisco Adaptive Security Appliance (ASA) Software y el Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado causar que el dispositivo se sobrecargue inesperadamente, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a una comprobación inapropiada de la longitud de un campo en un paquete DNS IPv6. Un atacante podría explotar esta vulnerabilidad mediante el envío de una consulta DNS sobre IPv6 diseñada, que atraviesa el dispositivo afectado. Una explotación podría permitir al atacante causar que el dispositivo se sobrecargue, resultando en una condición DoS. Esta vulnerabilidad es específica solo de DNS sobre el tráfico IPv6.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2023

Vulnerabilidad en la implementación de Open Shortest Path First (OSPF) en el Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3195)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la implementación de Open Shortest Path First (OSPF) en el Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado causar una pérdida de memoria sobre un dispositivo afectado. La vulnerabilidad es debido al procesamiento incorrecto de determinados paquetes OSPF. Un atacante podría explotar esta vulnerabilidad mediante el envío de una serie de paquetes OSPF diseñados para que sean procesados por un dispositivo afectado. Una explotación con éxito podría permitir a un atacante consumir continuamente la memoria sobre un dispositivo afectado y eventualmente causar que se sobrecargue, resultando en una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2023

Vulnerabilidad en las conexiones entrantes SSL/TLS en el manejador de Secure Sockets Layer (SSL)/Transport Layer Security (TLS) del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3196)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en el manejador de Secure Sockets Layer (SSL)/Transport Layer Security (TLS) del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado agotar los recursos de la memoria sobre el dispositivo afectado, conllevando a una condición de denegación de servicio (DoS). La vulnerabilidad es debido a una administración de recursos inapropiada para las conexiones entrantes SSL/TLS. Un atacante podría explotar esta vulnerabilidad al establecer múltiples conexiones SSL/TLS con condiciones específicas para el dispositivo afectado. Una explotación con éxito podría permitir al atacante agotar la memoria en el dispositivo afectado, causando que el dispositivo deje de aceptar nuevas conexiones SSL/TLS y resultando en una condición DoS para los servicios en el dispositivo que procesa el tráfico SSL/TLS. Es requerida una intervención manual para recuperar un dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2023

Vulnerabilidad en la funcionalidad de inspección de Media Gateway Control Protocol (MGCP) del Cisco Adaptive Security Appliance (ASA) Software y el Firepower Threat Defense (FTD) Software (CVE-2020-3254)
Fecha de publicación:
06/05/2020
Idioma:
Español
Múltiples vulnerabilidades en la funcionalidad de inspección de Media Gateway Control Protocol (MGCP) del Cisco Adaptive Security Appliance (ASA) Software y el Firepower Threat Defense (FTD) Software, podrían permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) sobre un dispositivo afectado. Las vulnerabilidades son debido a una administración ineficiente de la memoria. Un atacante podría explotar estas vulnerabilidades mediante el envío de paquetes MGCP diseñados a través de un dispositivo afectado. Una explotación podría permitir a un atacante causar el agotamiento de la memoria, resultando en un reinicio de un dispositivo afectado, causando una condición DoS para el tráfico que atraviesa el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2023

Vulnerabilidad en el análisis de las URL no válidas en la interfaz de servicios web del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3259)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la interfaz de servicios web del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado recuperar contenido de la memoria sobre un dispositivo afectado, lo que podría conducir a la divulgación de información confidencial . La vulnerabilidad es debido a un problema de rastreo del búfer cuando el software analiza las URL no válidas que son solicitadas desde la interfaz de servicios web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición GET diseñada hacia la interfaz de servicios web. Una explotación con éxito podría permitir a un atacante recuperar el contenido de la memoria, lo que podría conllevar a la divulgación de información confidencial. Nota: Esta vulnerabilidad solo afecta a configuraciones específicas de AnyConnect y WebVPN. Para más información, consulte la sección Vulnerable Products.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2025

Vulnerabilidad en el manejador de Secure Sockets Layer (SSL)/Transport Layer Security (TLS) del Cisco Firepower Threat Defense (FTD) Software en la plataforma Cisco Firepower 1000 Series (CVE-2020-3283)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en el manejador de Secure Sockets Layer (SSL)/Transport Layer Security (TLS) del Cisco Firepower Threat Defense (FTD) Software cuando se ejecuta en la plataforma Cisco Firepower 1000 Series, podría permitir a un atacante remoto no autenticado desencadenar una denegación de servicio ( DoS) sobre un dispositivo afectado. La vulnerabilidad es debido a un error de comunicación entre funciones internas. Un atacante podría explotar esta vulnerabilidad mediante el envío de un mensaje SSL/TLS diseñado hacia un dispositivo afectado. Una explotación con éxito podría permitir a un atacante causar una subdesbordamiento del búfer, que conlleva a un bloqueo. El bloqueo causa que el dispositivo afectado se sobrecargue.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2021

Vulnerabilidad en la política TLS 1.3 en la funcionalidad URL category para el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3285)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la política Transport Layer Security versión 1.3 (TLS 1.3) con funcionalidad URL category para el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado omitir una política TLS versión 1.3 configurada para bloquear el tráfico de una URL específica. La vulnerabilidad es debido a un error lógico con el manejo de la conexión de Snort con la política TLS versión 1.3 y la configuración de URL category. Un atacante podría explotar esta vulnerabilidad mediante el envío de conexiones TLS versión 1.3 diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir a un atacante omitir la política TLS versión 1.3 y acceder a las URL que están fuera del dispositivo afectado y que normalmente se descartarían.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/10/2021

Vulnerabilidad en la implementación de Open Shortest Path First (OSPF) del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3298)
Fecha de publicación:
06/05/2020
Idioma:
Español
Una vulnerabilidad en la implementación de Open Shortest Path First (OSPF) del Cisco Adaptive Security Appliance (ASA) Software y el Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado causar el reinicio de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a mecanismos de protección de memoria inapropiados mientras se procesan determinados paquetes OSPF. Un atacante podría explotar esta vulnerabilidad mediante el envío de una serie de paquetes OSPF malformados en un corta trama de tiempo hacia un dispositivo afectado. Una explotación con éxito podría permitir a un atacante causar un reinicio del dispositivo afectado, resultando en una condición DoS para el tráfico del cliente que atraviesa el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2023
Suscribirse a Vulnerabilidades