Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco Unified Communications Domain Manager Software (CVE-2018-0386)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en Cisco Unified Communications Domain Manager Software podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) en un sistema afectado. Esta vulnerabilidad se debe a la validación incorrecta de entradas pasadas al software afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario del software afectado acceda a una URL maliciosa. Su explotación con éxito podría permitir que el atacante acceda a información sensible del navegador en el sistema afectado o realizar acciones arbitrarias en el software afectado en el contexto de seguridad del usuario. Cisco Bug IDs: CSCvh49694.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en productos Cisco (CVE-2018-0409)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en el servicio XCP Router de Cisco Unified Communications Manager IM Presence Service (CUCM IMP) y Cisco TelePresence Video Communication Server (VCS) y Expressway podría permitir que un atacante remoto no autenticado provoque una caída temporal del servicio para todos los usuarios de IMP, lo que resulta en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a una validación incorrecta de las entradas proporcionadas por el usuario. Un atacante podría explotar esta vulnerabilidad enviando un paquete IPv4 o IPv6 malicioso al dispositivo afectado en el puerto TCP 7400. Su explotación con éxito podría permitir que el atacante sobrelea un búfer, resultando en un cierre inesperado y el reinicio del servicio XCP Router. Cisco Bug IDs: CSCvg97663, CSCvi55947.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/08/2020

Vulnerabilidad en Cisco AsyncOS Software en Cisco Web Security Appliances (CVE-2018-0410)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en la funcionalidad de proxy web de Cisco AsyncOS Software para Cisco Web Security Appliances podría permitir que un atacante remoto no autenticado agote la memoria del sistema y provoque una condición de denegación de servicio (DoS) en un sistema afectado. La vulnerabilidad existe debido a que el software afectado gestiona de forma incorrecta los recursos de memoria para las conexiones TCP en un dispositivo objetivo. Un atacante podría explotar esta vulnerabilidad estableciendo un alto número de conexiones TCP en la interfaz de datos de un dispositivo afectado mediante IPv4 o IPv6. Su explotación con éxito podría permitir que el atacante agote la memoria del sistema, lo que podría provocar que el sistema deje de procesar nuevas conexiones y desemboque en una condición de denegación de servicio (DoS). La recuperación del sistema podría requerir la intervención manual. Cisco Bug IDs: CSCvf36610.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2019

Vulnerabilidad en productos Cisco (CVE-2018-0412)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en la implementación de la funcionalidad Extensible Authentication Protocol over LAN (EAPOL) en Cisco Small Business 100 Series Wireless Access Points y Cisco Small Business 300 Series Wireless Access Points podría permitir que un atacante adyacente sin autenticar fuerce la degradación del algoritmo de cifrado empleado entre el autenticador (punto de acceso) y un suplicante (cliente Wi-Fi). La vulnerabilidad se debe al procesamiento incorrecto de ciertos mensajes EAPOL que se reciben durante el proceso de handshake Wi-Fi. Un atacante podría explotar esta vulnerabilidad estableciendo una posición Man-in-the-Middle (MitM) entre un suplicante y un autenticador y manipulando un intercambio de mensajes EAPOL para forzar el uso de un cifrado WPA-TKIP en lugar del cifrado AES-CCMP, más seguro. Su explotación con éxito podría permitir que el atacante lleve a cabo ataques criptográficos subsecuentes, lo que podría conducir a la divulgación de información confidencial. Cisco Bug IDs: CSCvj29229.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en productos Cisco (CVE-2018-0415)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en la implementación de la funcionalidad Extensible Authentication Protocol over LAN (EAPOL) en Cisco Small Business 100 Series Wireless Access Points y Cisco Small Business 300 Series Wireless Access Points podría permitir que un atacante adyacente autenticado provoque una denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a la gestión incorrecta de ciertos frames EAPOL. Un atacante podría explotar esta vulnerabilidad enviando un flujo de tramas EAPOL al dispositivo afectado. Su explotación con éxito podría permitir que el atacante fuerce al punto de acceso (AP) a desasociar todas las estaciones asociadas (STA) y a deshabilitar futuras peticiones nuevas de asociación. Cisco Bug IDs: CSCvj97472.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Cisco Registered Envelope Service (CVE-2018-0367)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión web de Cisco Registered Envelope Service podría permitir que un atacante remoto autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en un servicio afectado. La vulnerabilidad se debe a la validación insuficiente de entrada de datos de parte del usuario procesados por la interfaz de gestión web del servicio afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace malicioso. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o que pueda acceder a información sensible del navegador. Cisco Bug IDs: CVE-2018-0367.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/10/2019

Vulnerabilidad en Trend Micro Control Manager (CVE-2018-10510)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad de salto de directorio por ejecución remota de código en Trend Micro Control Manager (versiones 6.0 y 7.0) podría permitir que un atacante ejecute código arbitrario en instalaciones vulnerables.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/10/2018

Vulnerabilidad en Trend Micro Control Manager (CVE-2018-10512)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en Trend Micro Control Manager (versiones 6.0 y 7.0) podría permitir que un atacante manipule un .dll proxy inverso en instalaciones vulnerables, lo que podría conducir a una denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2019

Vulnerabilidad en Trend Micro Control Manager (CVE-2018-10511)
Fecha de publicación:
15/08/2018
Idioma:
Español
Una vulnerabilidad en Trend Micro Control Manager (versiones 6.0 y 7.0) podría permitir que un atacante lleve a cabo un ataque de SSRF (Server-Side Request Forgery) en instalaciones vulnerables.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/12/2020

Vulnerabilidad en Clavister cOS Core (CVE-2018-8753)
Fecha de publicación:
15/08/2018
Idioma:
Español
La implementación de IKEv1 en Clavister cOS Core en versiones anteriores a la 11.00.11, 11.20.xx anteriores a 11.20.06 y 12.00.xx anteriores a 12.00.09 permite a los atacantes remotos descifrar los nonces cifrados con RSA mediante un ataque Bleichenbacher.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2019

Vulnerabilidad en dispositivos ZyXEL (CVE-2018-9129)
Fecha de publicación:
15/08/2018
Idioma:
Español
Los dispositivos ZyXEL de la serie ZyWALL/USG tienen una vulnerabilidad de Bleichenbacher en su implementación de handshake de intercambio de claves de Internet (IKE) utilizado para conexiones VPN basadas en IPsec.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

CVE-2016-9140
Fecha de publicación:
15/08/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades