Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco AnyConnect Secure Mobility Client (CVE-2018-0100)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Profile Editor en Cisco AnyConnect Secure Mobility Client podría podría permitir que un atacante local no autenticado tenga acceso de lectura y escritura a la información almacenada en el sistema afectado. La vulnerabilidad se debe a una gestión incorrecta de las entradas XEE (XML External Entity) cuando se analiza un archivo XML. Un atacante podría explotar esta vulnerabilidad inyectando un archivo XML manipulado con entradas maliciosas, lo que podría permitir que el atacante lea y escriba archivos. Cisco Bug IDs: CSCvg19341.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en la herramienta Pong de Cisco NX-OS (CVE-2018-0102)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en la herramienta Pong de Cisco NX-OS Software podría permitir que un atacante adyacente sin autenticar haga que el dispositivo afectado se reinicie y provoque una denegación de servicio (DoS) como consecuencia. La vulnerabilidad existe porque el software afectado intenta liberar la misma área de memoria dos veces. Un atacante podría explotar esta vulnerabilidad enviando una petición pong a un dispositivo afectado desde una ubicación en la red que provoca que el paquete de respuesta pong salga tanto de un puerto FabricPath como de un puerto no FabricPath. Su explotación podría permitir que el atacante haga que se reinicie el vPC (Virtural port-channel) supervisor dual o quad. Esta vulnerabilidad afecta a los siguientes productos cuando ejecutan versiones de software Cisco NX-OS 7.2(1)D(1), 7.2(2)D1(1) o 7.2(2)D1(2) con las características Pong y FabricPath activadas y el puerto FabricPath es monitorizado activamente en una sesión SPAN: Cisco Nexus 7000 Series Switches y Cisco Nexus 7700 Series Switches. Cisco Bug IDs: CSCuv98660.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Unified Communications Manager (CVE-2018-0105)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el framework web de Cisco Unified Communications Manager podría permitir que un atacante remoto no autenticado visualice datos sensibles. Esta vulnerabilidad se debe a una protección de tablas de bases de datos insuficiente. Un atacante podría explotar esta vulnerabilidad navegando hasta una URL específica. Esta vulnerabilidad podría permitir que el atacante visualice información de la librería de datos. Cisco Bug IDs: CSCvf20269.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2020

Vulnerabilidad en Cisco Elastic Services Controller (CVE-2018-0106)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el servidor ConfD de Cisco Elastic Services Controller (ESC) podría permitir que un atacante local autenticado acceda a información sensible en un sistema objetivo. Esta vulnerabilidad se debe a restricciones de seguridad insuficientes. Un atacante podría explotar esta vulnerabilidad accediendo a información sin autorización en la estructura de datos y directorios de ConfD. Esta vulnerabilidad podría permitir que el atacante visualice información. Cisco Bug IDs: CSCvg00221.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/09/2020

Vulnerabilidad en Cisco Prime Service Catalog (CVE-2018-0107)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el framework web de Cisco Prime Service Catalog podría permitir que un atacante remoto no autenticado ejecute acciones no deseadas en un dispositivo afectado. La vulnerabilidad se debe a la ausencia de medidas de protección contra ataques de Cross-Site Request Forgery (CSRF). Un atacante podría explotar esta vulnerabilidad engañando al usuario de una aplicación web para que ejecute una acción adversa. Cisco Bug IDs: CSCvg30313.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2018-0108)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto no autenticado obtenga archivos de clientes mediante una inyección de XEE (XML External Entity) fuera de banda. Un atacante podría explotar esta vulnerabilidad para obtener información y realizar ataques adicionales de reconocimiento. La vulnerabilidad se debe a la capacidad de un atacante para realizar una inyección XEE (XML External Entity) fuera de banda en el sistema, lo que podría permitir que un atacante capture archivos de clientes y los redirija a otra dirección de destino. Esta vulnerabilidad podría permitir que el atacante descubra datos sensibles de clientes. Cisco Bug IDs: CSCvg36996.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2018-0109)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto autenticado acceda a datos sensibles sobre la aplicación. Un atacante podría explotar esta vulnerabilidad para obtener información y realizar ataques de reconocimiento adicionales. La vulnerabilidad se debe a un fallo de diseño en Cisco WebEx Meetings Server que podría permitir que un atacante que está autenticado como root obtenga secretos compartidos. Un atacante podría explotar esta vulnerabilidad accediendo a la cuenta roo y visualizando información sensible. Su explotación exitosa podría permitir que el atacante descubra información sensible sobre la aplicación. Cisco Bug IDs: CSCvg42664.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2018-0110)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto autenticado acceda a la cuenta de soporte remota incluso después de haberla desactivado mediante la aplicación web. La vulnerabilidad se debe a un fallo de diseño en Cisco WebEx Meetings Server, el cual no deshabilitaría el acceso a cuentas de usuario configuradas específicamente, incluso después de que se haya deshabilitado el acceso en la aplicación web. Un atacante podría explotar esta vulnerabilidad conectándose a la cuenta de soporte remoto, incluso después de que se haya deshabilitado a nivel de aplicación web. Su explotación podría permitir que el atacante modifique la configuración del servidor y obtenga acceso a los datos del sistema. Cisco Bug IDs: CSCvg46741.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2018-0111)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto no autenticado acceda a datos sensibles de la aplicación. Un atacante podría explotar esta vulnerabilidad para obtener información y realizar ataques de reconocimiento adicionales. La vulnerabilidad se debe a un fallo de diseño en Cisco WebEx Meetings Server, que podría incluir información interna de la red que debería estar restringida. Un atacante puede explotar esta vulnerabilidad empleando recursos disponibles para estudiar la red del cliente. Un exploit podría permitir que el atacante descubra datos sensibles sobre la aplicación. Cisco Bug IDs: CSCvg46806.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco StarOS para routers Cisco (CVE-2018-0115)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el CLI del sistema operativo Cisco StarOS para routers Cisco ASR 5000 Series podría permitir que un atacante local autenticado ejecute comandos arbitrarios con privilegios root en un sistema operativo del host afectado. Esta vulnerabilidad se debe a una validación insuficiente de las entradas realizadas por el usuario. Un atacante podría explotar esta vulnerabilidad inyectando argumentos de comando maliciosos en una comando de interfaz de línea de comandos vulnerable. Un exploit con éxito podría permitir que el atacante ejecute comandos arbitrarios con privilegios root. Para explotar esta vulnerabilidad, el atacante necesitaría autenticarse en el sistema afectado empleando credenciales de administrador válidas. Cisco Bug IDs: CSCvf93332.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en el framework web de Cisco Small Business Managed Switches (CVE-2017-12308)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el framework web de Cisco Small Business Managed Switches Software podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de separación de respuesta HTTP contra un usuario de dicha interfaz en el sistema afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de algunos parámetros que se pasan al servidor web del sistema afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que acceda a un enlace malicioso o interceptando una petición de usuario e inyectando código malicioso en la petición. Un exploit con éxito podría permitir que el atacante ejecute código script arbitrario en el contexto de la interfaz web afectada o que acceda a información sensible del navegador. Esta vulnerabilidad afecta a los siguientes productos de Cisco Small Business 300 and 500 Series Managed Switches: Cisco 350 Series Managed Switches, Cisco 350X Series Stackable Managed Switches, Cisco 550X Series Stackable Managed Switches, Cisco ESW2 Series Advanced Switches, Cisco Small Business 300 Series Managed Switches y Cisco Small Business 500 Series Stackable Managed Switches. Cisco Bug IDs: CSCvg29980.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2020

Vulnerabilidad en el framework web de Cisco Small Business Managed Switches (CVE-2017-12307)
Fecha de publicación:
18/01/2018
Idioma:
Español
Una vulnerabilidad en el framework web de Cisco Small Business Managed Switches Software podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) reflejado contra un usuario de dicha interfaz en el sistema afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de parámetros que se pasan al servidor web del sistema afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que acceda a un enlace malicioso o interceptando e inyectando código en una petición de usuario. Un exploit con éxito podría permitir que el atacante ejecute código script arbitrario en el contexto de la interfaz web afectada o que acceda a información sensible del navegador. Esta vulnerabilidad afecta a los siguientes productos de Cisco Small Business 300 and 500 Series Managed Switches: Cisco Small Business 300 Series Managed Switches, Cisco Small Business 500 Series Stackable Managed Switches, Cisco 350 Series Managed Switches, Cisco 350X Series Stackable Managed Switches, Cisco 550X Series Stackable Managed Switches y Cisco ESW2 Series Advanced Switches. Cisco Bug IDs: CSCvg24637.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2020
Suscribirse a Vulnerabilidades