Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco Finesse (CVE-2018-0399)
Fecha de publicación:
18/07/2018
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de gestión web de Cisco Finesse podrían permitir que un atacante remoto sin autenticar recupere una contraseña en texto claro de un sistema afectado. Cisco Bug IDs: CSCvg71044.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Unified Contact Center Express (CVE-2018-0400)
Fecha de publicación:
18/07/2018
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de gestión web de Cisco Unified Contact Center Express (Unified CCX) podrían permitir que un atacante remoto sin autenticar lleve a cabo ataques de Cross-Site Scripting (XSS) contra un usuario de la interfaz. Cisco Bug IDs: CSCvg70904.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Unified Contact Center Express (CVE-2018-0401)
Fecha de publicación:
18/07/2018
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de gestión web de Cisco Unified Contact Center Express (Unified CCX) podrían permitir que un atacante remoto sin autenticar lleve a cabo ataques de Cross-Site Scripting (XSS) contra un usuario de la interfaz. Cisco Bug IDs: CSCvg70967.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Unified Contact Center Express (CVE-2018-0402)
Fecha de publicación:
18/07/2018
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de gestión web de Cisco Unified Contact Center Express (Unified CCX) podrían permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Request Forgery (CSRF). Cisco Bug IDs: CSCvg70921.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Unified Contact Center Express (CVE-2018-0403)
Fecha de publicación:
18/07/2018
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de gestión web de Cisco Unified Contact Center Express (Unified CCX) podrían permitir que un atacante remoto sin autenticar recupere una contraseña en texto claro. Cisco Bug IDs: CSCvg71040.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Webex Network Recording Player (CVE-2018-0380)
Fecha de publicación:
18/07/2018
Idioma:
Español
Existen múltiples vulnerabilidades en Cisco Webex Network Recording Player para los archivos Advanced Recording Format (ARF) y Webex Recording Format (WRF). Un atacante podría explotar esta vulnerabilidad proporcionando a un usuario un archivo .arf o .wrf por email o URL y convenciendo a ese usuario para que ejecute ese archivo en las grabadoras Webex. La explotación de estas vulnerabilidades podría provocar que el reproductor afectado se reinicie, provocando una denegación de servicio (DoS). Los reproductores Cisco Webex son aplicaciones que se emplean para reproducir reuniones Webex que han sido grabadas por un asistente a la reunión online. Webex Network Recording Player para archivos .arf puede instalarse automáticamente cuando el usuario accede a una grabación alojada en un servidor Webex. Webex Player para .wrf puede descargarse manualmente. Estas vulnerabilidades afectan a las grabadoras ARF y WRF disponibles desde los sitios Cisco Webex Meetings Suite, Cisco Webex Meetings Online y Cisco Webex Meetings Server. Cisco Bug IDs: CSCvh70253, CSCvh70268, CSCvh72272, CSCvh72281, CSCvh72285, CSCvi60477, CSCvi60485, CSCvi60490, CSCvi60520, CSCvi60529, CSCvi60533.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco SD-WAN Solution (CVE-2018-0342)
Fecha de publicación:
18/07/2018
Idioma:
Español
Una vulnerabilidad en el servicio de configuración y monitorización de Cisco SD-WAN Solution podría permitir que un atacante local autenticado ejecute código arbitrario con privilegios root o provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad se debe a comprobaciones de límites incompletas para los datos proporcionados por el servicio de configuración y monitorización de la solución afectada. Un atacante podría explotar esta vulnerabilidad mediante el envío de datos maliciosos al servicio en escucha de vDaemon en un dispositivo afectado. Su explotación con éxito podría permitir que el atacante provoque un desbordamiento de búfer en el dispositivo afectado que le permitiría ejecutar código arbitrario con privilegios root o provocar que el servicio en escucha de vDaemon se recargue y resulte en una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a los siguientes productos Cisco si están ejecutando una versión de Cisco SD-WAN Solution anterior a la 18.3.0: vBond Orchestrator Software, vEdge 100 Series Routers, vEdge 1000 Series Routers, vEdge 2000 Series Routers, vEdge 5000 Series Routers, vEdge Cloud Router Platform, vManage Network Management Software y vSmart Controller Software. Cisco Bug IDs: CSCvi70003.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco SD-WAN Solution (CVE-2018-0343)
Fecha de publicación:
18/07/2018
Idioma:
Español
Una vulnerabilidad en el servicio de configuración y gestión de Cisco SD-WAN Solution podría permitir que un atacante remoto autenticado ejecute código arbitrario con privilegios de usuario vmanage o provoque una condición de denegación de servicio (DoS) en un sistema afectado. La vulnerabilidad se debe a las restricciones de acceso insuficientes en la interfaz de gestión HTTP de la solución afectada. Un atacante podría explotar esta vulnerabilidad enviando una petición HTTP maliciosa al servicio de gestión afectado mediante un dispositivo autenticado. Su explotación con éxito podría permitir que el atacante ejecute código arbitrario con privilegios de usuario vmanage o detenga los servicios HTTP en un sistema afectado. Esta vulnerabilidad afecta a los siguientes productos Cisco si están ejecutando una versión de Cisco SD-WAN Solution anterior a la 18.3.0: vBond Orchestrator Software, vEdge 100 Series Routers, vEdge 1000 Series Routers, vEdge 2000 Series Routers, vEdge 5000 Series Routers, vEdge Cloud Router Platform, vManage Network Management Software y vSmart Controller Software. Cisco Bug IDs: CSCvi69976.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco SD-WAN Solution (CVE-2018-0344)
Fecha de publicación:
18/07/2018
Idioma:
Español
Una vulnerabilidad en el panel de control vManage para el servicio de configuración y gestión de Cisco SD-WAN Solution podría permitir que un atacante remoto autenticado inyecte y ejecute comandos arbitrarios con privilegios de usuario vmanage en un sistema afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de parámetros de datos para ciertos campos de la solución afectada. Un atacante podría explotar esta vulnerabilidad configurando un usuario malicioso en la página de inicio de sesión de la solución afectada. Su explotación con éxito podría permitir que el atacante inyecte y ejecute comandos arbitrarios con privilegios de usuario vmanage en un sistema afectado. Esta vulnerabilidad afecta a los siguientes productos Cisco si están ejecutando una versión de Cisco SD-WAN Solution anterior a la 18.3.0: vBond Orchestrator Software, vEdge 100 Series Routers, vEdge 1000 Series Routers, vEdge 2000 Series Routers, vEdge 5000 Series Routers, vEdge Cloud Router Platform, vManage Network Management Software y vSmart Controller Software. Cisco Bug IDs: CSCvi69974.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco SD-WAN Solution (CVE-2018-0345)
Fecha de publicación:
18/07/2018
Idioma:
Español
Una vulnerabilidad en la base de datos de configuración y gestión de Cisco SD-WAN Solution podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios con privilegios de usuario vmanage en el sistema de gestión de configuración de un sistema afectado. La vulnerabilidad se debe a una validación insuficiente de argumentos de comando que se pasan a la base de datos de configuración y gestión del software afectado. Un atacante podría explotar esta vulnerabilidad creando funciones personalizadas que contienen código malicioso y se ejecutan como el usuario vmanage del sistema de gestión de configuración. Su explotación con éxito podría permitir que el atacante ejecute comandos arbitrarios con privilegios de usuario vmanage en el sistema de gestión de configuración del sistema afectado. Esta vulnerabilidad afecta a los siguientes productos Cisco si ejecutan una versión de Cisco SD-WAN Solution anterior a la 18.3.0: vBond Orchestrator Software, vManage Network Management Software y vSmart Controller Software. Cisco Bug IDs: CSCvi69937.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/08/2020

Vulnerabilidad en el servicio Zero Touch Provisioning de Cisco SD-WAN Solution (CVE-2018-0346)
Fecha de publicación:
18/07/2018
Idioma:
Español
Una vulnerabilidad en el el servicio Zero Touch Provisioning de Cisco SD-WAN Solution podría permitir que un atacante remoto sin autenticar provoque una denegación de servicio (DoS) en un sistema afectado. La vulnerabilidad se debe a comprobaciones de límites incorrectas para ciertos valores en los paquetes que se envían al servicio Zero Touch Provisioning del sistema afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes maliciosos al software afectado para procesarlos. Cuando el software procesa los paquetes, podría ocurrir una condición de desbordamiento de búfer y provocar que el dispositivo afectado se recargue. Su explotación con éxito podría permitir que el atacante provoque una denegación de servicio (DoS) temporal mientras se reinicia el dispositivo. Esta vulnerabilidad solo puede ser explotada por tráfico destinado a un dispositivo afectado. No puede ser explotada por tráfico que transita por un dispositivo. Esta vulnerabilidad afecta a los siguientes productos Cisco si ejecutan una versión de Cisco SD-WAN Solution anterior a la 18.3.0: vBond Orchestrator Software, vManage Network Management Software y vSmart Controller Software. Cisco Bug IDs: CSCvi69914.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en el subsistema ZTP en Cisco SD-WAN Solution (CVE-2018-0347)
Fecha de publicación:
18/07/2018
Idioma:
Español
Una vulnerabilidad en el subsistema Zero Touch Provisioning (ZTP) de Cisco SD-WAN podría permitir que un atacante local autenticado inyecte comandos arbitrarios que se ejecutan con privilegios root. Esta vulnerabilidad se debe a una validación de entradas insuficiente. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo y enviando entradas maliciosas al parámetro afectado. El atacante debe estar autenticado para acceder al parámetro afectado. Su explotación con éxito podría permitir que el atacante ejecute comandos con privilegios root. Esta vulnerabilidad afecta a los siguientes productos Cisco si están ejecutando una versión de Cisco SD-WAN Solution anterior a la 18.3.0: vEdge 100 Series Routers, vEdge 1000 Series Routers, vEdge 2000 Series Routers y vEdge 5000 Series Routers. Cisco Bug IDs: CSCvi69906.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019
Suscribirse a Vulnerabilidades