Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco (CVE-2024-20319)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en el código de reenvío UDP del software Cisco IOS XR podría permitir que un atacante adyacente no autenticado omita las políticas de protección del plano de administración configuradas y acceda al servidor del Plano simple de administración de red (SNMP) de un dispositivo afectado. Esta vulnerabilidad se debe a una programación incorrecta de reenvío UDP cuando se utiliza SNMP con protección del plano de administración. Un atacante podría aprovechar esta vulnerabilidad al intentar realizar una operación SNMP utilizando la transmisión como dirección de destino que podría ser procesada por un dispositivo afectado que esté configurado con un servidor SNMP. Un exploit exitoso podría permitir al atacante comunicarse con el dispositivo en los puertos SNMP configurados. Aunque un atacante no autenticado podría enviar datagramas UDP al puerto SNMP configurado, sólo un usuario autenticado puede recuperar o modificar datos mediante solicitudes SNMP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2025

Vulnerabilidad en Cisco (CVE-2024-20320)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en la función de cliente SSH del software Cisco IOS XR para los enrutadores Cisco de la serie 8000 y los enrutadores Cisco Network Convergence System (NCS) de las series 540 y 5700 podría permitir que un atacante local autenticado eleve los privilegios en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se incluyen con el comando CLI del cliente SSH. Un atacante con acceso con pocos privilegios a un dispositivo afectado podría aprovechar esta vulnerabilidad emitiendo un comando de cliente SSH manipulado a la CLI. Un exploit exitoso podría permitir al atacante elevar los privilegios a root en el dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2025

Vulnerabilidad en Cisco (CVE-2024-20322)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en el procesamiento de la lista de control de acceso (ACL) en interfaces Pseudowire en la dirección de ingreso del software Cisco IOS XR podría permitir que un atacante remoto no autenticado omita una ACL configurada. Esta vulnerabilidad se debe a una asignación incorrecta de claves de búsqueda a contextos de interfaz interna. Un atacante podría aprovechar esta vulnerabilidad intentando enviar tráfico a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante acceder a recursos detrás del dispositivo afectado que se suponía estaban protegidos por una ACL configurada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en Cisco (CVE-2024-20327)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en la función de terminación de PPP sobre Ethernet (PPPoE) del software Cisco IOS XR para los enrutadores de servicios de agregación Cisco ASR serie 9000 podría permitir que un atacante adyacente no autenticado bloquee el proceso ppp_ma, lo que resultaría en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe al manejo inadecuado de paquetes PPPoE con formato incorrecto que se reciben en un enrutador que ejecuta la funcionalidad Broadband Network Gateway (BNG) con terminación PPPoE en una tarjeta de línea basada en Lightspeed o Lightspeed-Plus. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete PPPoE manipulado a una interfaz de tarjeta de línea afectada que no termine PPPoE. Un exploit exitoso podría permitir al atacante bloquear el proceso ppp_ma, lo que resultaría en una condición DoS para el tráfico PPPoE a través del enrutador.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2025

Vulnerabilidad en WP Codeus Advanced Sermons (CVE-2024-27952)
Fecha de publicación:
13/03/2024
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en WP Codeus Advanced Sermons permite Reflected XSS. Este problema afecta a Advanced Sermons: desde n/a hasta 3.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2025

Vulnerabilidad en Cool Plugins Cryptocurrency Widgets – Price Ticker & Coins List (CVE-2024-27953)
Fecha de publicación:
13/03/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en Cool Plugins Cryptocurrency Widgets – Price Ticker & Coins List. Este problema afecta a Cryptocurrency Widgets – Price Ticker & Coins List: desde n/a hasta 2.6.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2025

Vulnerabilidad en Dell PowerEdge Server BIOS and Dell Precision Rack BIOS (CVE-2024-0173)
Fecha de publicación:
13/03/2024
Idioma:
Español
Dell PowerEdge Server BIOS and Dell Precision Rack BIOS contienen una vulnerabilidad de inicialización de parámetros incorrecta. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad para leer el contenido de la memoria de pila que no sea SMM.
Gravedad CVSS v3.1: BAJA
Última modificación:
31/01/2025

Vulnerabilidad en Secure Copy Protocol (CVE-2024-20262)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en Secure Copy Protocol (SCP) y la función SFTP del software Cisco IOS XR podría permitir que un atacante local autenticado cree o sobrescriba archivos en un directorio del sistema, lo que podría provocar una condición de denegación de servicio (DoS). El atacante requeriría credenciales de usuario válidas para realizar este ataque. Esta vulnerabilidad se debe a la falta de validación adecuada de los parámetros de entrada de SCP y SFTP CLI. Un atacante podría aprovechar esta vulnerabilidad autenticándose en el dispositivo y emitiendo comandos SCP o SFTP CLI con parámetros específicos. Un exploit exitoso podría permitir que el atacante afecte la funcionalidad del dispositivo, lo que podría provocar una condición DoS. Es posible que sea necesario reiniciar el dispositivo manualmente para recuperarlo. Nota: Esta vulnerabilidad solo se puede explotar cuando un usuario local invoca comandos SCP o SFTP en la CLI de Cisco IOS XR. Un usuario local con privilegios administrativos podría aprovechar esta vulnerabilidad de forma remota.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2024

Vulnerabilidad en DHCP (CVE-2024-20266)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en la función del servidor DHCP versión 4 (DHCPv4) del software Cisco IOS XR podría permitir que un atacante remoto no autenticado desencadene una falla del proceso dhcpd, lo que resultaría en una condición de denegación de servicio (DoS). Esta vulnerabilidad existe porque ciertos mensajes DHCPv4 se validan incorrectamente cuando son procesados por un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad enviando un mensaje DHCPv4 con formato incorrecto a un dispositivo afectado. Un exploit exitoso podría permitir al atacante provocar una falla del proceso dhcpd. Mientras se reinicia el proceso dhcpd, lo que puede tardar aproximadamente dos minutos, los servicios del servidor DHCPv4 no están disponibles en el dispositivo afectado. Esto podría impedir temporalmente el acceso a la red a los clientes que se unan a la red durante ese período de tiempo y dependan del servidor DHCPv4 del dispositivo afectado. Notas: Sólo el proceso dhcpd falla y finalmente se reinicia automáticamente. El enrutador no se recarga. Esta vulnerabilidad sólo se aplica a DHCPv4. DHCP versión 6 (DHCPv6) no se ve afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2024

Vulnerabilidad en Cisco (CVE-2024-20315)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en el procesamiento de la lista de control de acceso (ACL) en las interfaces MPLS en la dirección de ingreso del software Cisco IOS XR podría permitir que un atacante remoto no autenticado omita una ACL configurada. Esta vulnerabilidad se debe a una asignación incorrecta de claves de búsqueda a contextos de interfaz interna. Un atacante podría aprovechar esta vulnerabilidad intentando enviar tráfico a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante acceder a recursos detrás del dispositivo afectado que se suponía estaban protegidos por una ACL configurada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2024

Vulnerabilidad en Cisco (CVE-2024-20318)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en los servicios Ethernet de capa 2 del software Cisco IOS XR podría permitir que un atacante adyacente no autenticado provoque que el procesador de red de la tarjeta de línea se reinicie, lo que resultaría en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe al manejo incorrecto de tramas Ethernet específicas que se reciben en tarjetas de línea que tienen habilitada la función de servicios de Capa 2. Un atacante podría aprovechar esta vulnerabilidad enviando tramas Ethernet específicas a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el procesador de red de la interfaz de entrada se reinicie, lo que resultaría en una pérdida de tráfico en las interfaces admitidas por el procesador de red. Múltiples reinicios del procesador de red provocarían que la tarjeta de línea se reinicie, lo que resultaría en una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2024

Vulnerabilidad en Dell PowerEdge Server BIOS and Dell Precision Rack BIOS (CVE-2024-0154)
Fecha de publicación:
13/03/2024
Idioma:
Español
Dell PowerEdge Server BIOS and Dell Precision Rack BIOS contienen una vulnerabilidad de inicialización de parámetros incorrecta. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad para leer el contenido de la memoria de pila que no sea SMM.
Gravedad CVSS v3.1: BAJA
Última modificación:
31/01/2025
Suscribirse a Vulnerabilidades