Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la consola web de Cisco Cloud Services Platform (CSP) (CVE-2017-12251)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en la consola web de Cisco Cloud Services Platform (CSP) 2100 podría permitir que un atacante remoto autenticado interactúe con fines maliciosos con los servicios o máquinas virtuales que operan remotamente en un dispositivo CSP afectado. La vulnerabilidad se debe a una debilidad en la generación de ciertos mecanismos de autenticación en la URL de la consola web. Un atacante podría explotar esta vulnerabilidad navegando por una de las URL de las máquinas virtuales alojadas en Cisco CSP y visualizando patrones específicos que controlan los mecanismos de la aplicación web para el control de autenticación. Un exploit podría permitir que el atacante acceda a una máquina virtual específica en el CSP, lo que provoca una pérdida completa de la confidencialidad, integridad y disponibilidad del sistema. Esta vulnerabilidad afecta a Cisco Cloud Services Platform (CSP) 2100 cuando ejecuta las distribuciones de software 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 o 2.2.2. Cisco Bug IDs: CSCve64690.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2025

Vulnerabilidad en la funcionalidad Session Initiation Protocol en productos de Cisco (CVE-2017-12259)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en la implementación de la funcionalidad Session Initiation Protocol (SIP) en Cisco Small Business SPA51x Series IP Phones podría permitir que un atacante remoto sin autenticar haga que el dispositivo afectado no responda, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un manejo incorrecto de los mensajes de petición SIP por parte de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando mensajes SIP mal formados a un dispositivo afectado. Un exploit con éxito, podría permitir que el atacante consiga que el dispositivo afectado no responda, lo que da como resultado una condición de DoS que persista hasta que el dispositivo se reinicie manualmente. Esta vulnerabilidad afecta a Cisco Small Business SPA51x Series IP Phones que ejecuten la distribución 7.6.2SR1 o anterior del firmware Cisco SPA51x. Cisco Bug IDs: CSCvc63982.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en productos de Cisco (CVE-2017-12260)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en la implementación de la funcionalidad Session Initiation Protocol (SIP) en Cisco Small Business SPA50x, SPA51x y SPA52x Series IP Phones podría permitir que un atacante remoto sin autenticar haga que el dispositivo afectado no responda, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un manejo incorrecto de los mensajes de petición SIP por parte de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad utilizando especificadores formateados en un payload SIP que se envían a un dispositivo afectado. Un exploit con éxito, podría permitir que el atacante consiga que el dispositivo afectado no responda, lo que da como resultado una condición de DoS que persista hasta que el dispositivo se reinicie manualmente. Esta vulnerabilidad afecta a Cisco Small Business SPA50x, SPA51x, y SPA52x Series IP Phones que ejecutan la distribución de firmware 7.6.2SR1 o anterior. Cisco Bug IDs: CSCvc63986.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en productos de Cisco (CVE-2017-12271)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en Cisco SPA300 y SPA500 Series IP Phones podría permitir que un atacante remoto no autenticado ejecute acciones no deseadas en un dispositivo afectado. La vulnerabilidad se debe a la ausencia de medidas de protección contra ataques de Cross-Site Request Forgery (CSRF). Un atacante podría explotar esta vulnerabilidad engañando al usuario de una aplicación web para que ejecute una acción adversa. Cisco Bug IDs: CSCuz88421, CSCuz91356, CSCve56308.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco IOS XE (CVE-2017-12272)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en el código del framework web del software Cisco IOS XE podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de la interfaz web del software afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de algunos parámetros que se pasan al servidor web del software afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de la interfaz web para que acceda a un enlace malicioso o interceptando una petición de usuario para la web afectada e inyectando código malicioso en la petición. Un exploit con éxito, podría permitir que el atacante ejecute código de script arbitrario en el contexto de la interfaz web afectada o que acceda a información sensible del navegador. Cisco Bug IDs: CSCvb09516.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Jabber para Windows (CVE-2017-12284)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Cisco Jabber para el cliente Windows podría permitir que un atacante local autenticado recupere información del perfil de usuario, lo que podría dar lugar a la revelación de información confidencial. Esta vulnerabilidad se debe una la falta de mecanismos comprobación de entradas y validaciones en el sistema. Un atacante podría explotar esta vulnerabilidad enviando comandos específicos después de autenticarse en el sistema. Un exploit con éxito podría permitir que el atacante visualizase información del perfil donde solo deberían ser visibles ciertos parámetros. Cisco Bug IDs: CSCve14401.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en el software Cisco Network Analysis Module (CVE-2017-12285)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web del software Cisco Network Analysis Module podría permitir que un atacante remoto no autenticado elimine archivos arbitrarios de un sistema afectado. Esto también se conoce como salto de directorio. Esta vulnerabilidad existe porque el software afectado no realiza una correcta validación de entradas de las peticiones HTTP que recibe y el software no aplica controles de acceso basados en roles (RBAC) a URL HTTP solicitadas. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP manipulada al software afectado. Un exploit con éxito podría permitir que el atacante elimine archivos arbitrarios del sistema afectado. Cisco Bug IDs: CSCvf41365.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Jabber (CVE-2017-12286)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en la interfaz web de Cisco Jabber podría permitir que un atacante local autenticado recupere información del perfil de usuario del software afectado, lo que podría dar lugar a la revelación de información confidencial. Esta vulnerabilidad se debe una la falta de comprobaciones de entradas y validaciones en el software afectado. Un atacante podría explotar esta vulnerabilidad autenticándose de manera local en el sistema afectado y enviando entonces comandos específicos al software afectado. Un exploit con éxito podría permitir que el atacante visualizase toda la información del perfil donde solo deberían ser visibles ciertos parámetros de Jabber. Esta vulnerabilidad afecta a todas las distribuciones de Cisco Jabber anteriores a la distribución 1.9.31. Cisco Bug IDs: CSCve52418.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Expressway Series y Cisco TelePresence Video Communication Server (VCS) (CVE-2017-12287)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en el componente de gestión de bases de datos de clúster (CBD) del software Cisco Expressway Series y el software Cisco TelePresence Video Communication Server (VCS) podría permitir que un atacante autenticado remoto provocase que el proceso de CBD en un sistema afectado se reiniciase de manera inesperada, lo que daría lugar a una condición de denegación de servicio (DoS) temporal. Esta vulnerabilidad también se debe a la validación incompleta de peticiones URL por la API REST del software afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de una URL a la API REST del software afectado del sistema afectado. Un exploit con éxito podría permitir que el atacante provoque el reinicio inesperado del proceso CBD en el sistema afectado, lo que daría como resultado una condición de DoS temporal. Cisco Bug IDs: CSCve77571.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco Unified Contact Center Express (CVE-2017-12288)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Unified Contact Center Express podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de un dispositivo afectado. La vulnerabilidad se debe a la validación insuficiente de entrada de datos de parte del usuario en la interfaz de gestión web del dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace malicioso. Un exploit con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o que pueda acceder a información sensible del navegador. Cisco Bug IDs: CSCvf09173.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en la funcionalidad IPsec en el software Cisco IOS XE (CVE-2017-12289)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en el registro de depuración detallado, condicional para la funcionalidad IPsec del software Cisco IOS XE podría permitir que un atacante local autenticado muestre información sensible de IPsec en el archivo de registro del sistema La vulnerabilidad se debe a la incorrecta implementación del registro de depuración detallado, condicional que da lugar a que se escriba información sensible en el archivo de registro. Esta información debería estar restringida. Un atacante que tenga credenciales de administrador válidas podría explotar esta vulnerabilidad autenticándose en el dispositivo y habilitando el registro de depuración detallado, condicional para IPsec y visualizando el archivo de registro. Un exploit podría permitir que el atacante acceda a información sensible relacionada con la configuración de IPsec. Cisco Bug IDs: CSCvf12081
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2025

Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2017-12293)
Fecha de publicación:
19/10/2017
Idioma:
Español
Una vulnerabilidad en Cisco WebEx Meetings Server podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS). La vulnerabilidad se debe a limitaciones insuficientes del número de conexiones que se pueden realizar al software afectado. Un atacante podría explotar esta vulnerabilidad abriendo múltiples conexiones al servidor y agotando sus recursos. Un exploit con éxito podría dar lugar a que el servidor se recargarse, provocando una condición de DoS. Cisco Bug IDs: CSCvf41006.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2025
Suscribirse a Vulnerabilidades