Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco (CVE-2023-20246)
Fecha de publicación:
01/11/2023
Idioma:
Español
Varios productos de Cisco se ven afectados por una vulnerabilidad en las políticas de control de acceso de Snort que podría permitir que un atacante remoto no autenticado eluda las políticas configuradas en un sistema afectado. Esta vulnerabilidad se debe a un error lógico que ocurre cuando se completan las políticas de control de acceso. Un atacante podría aprovechar esta vulnerabilidad estableciendo una conexión con un dispositivo afectado. Un exploit exitoso podría permitir al atacante omitir las reglas de control de acceso configuradas en el sistema afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2024

Vulnerabilidad en Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) (CVE-2023-20247)
Fecha de publicación:
01/11/2023
Idioma:
Español
Una vulnerabilidad en la función VPN SSL de acceso remoto del software Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD) podría permitir a un atacante remoto autenticado omita una política de autenticación de múltiples certificados configurada y conectarse usando solo un nombre de usuario válido y contraseña. Esta vulnerabilidad se debe a un manejo inadecuado de errores durante la autenticación de VPN de acceso remoto. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes manipuladas durante el establecimiento de una sesión VPN de acceso remoto. Un exploit exitoso podría permitir al atacante omitir la política de autenticación de múltiples certificados configurada y al mismo tiempo conservar los privilegios y permisos asociados con el perfil de conexión original.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

Vulnerabilidad en Cisco Meeting Server (CVE-2023-20255)
Fecha de publicación:
01/11/2023
Idioma:
Español
Una vulnerabilidad en una API de la función Web Bridge de Cisco Meeting Server podría permitir que un atacante remoto no autenticado provoque una condición de Denegación de Servicio (DoS). Esta vulnerabilidad se debe a una validación insuficiente de las solicitudes HTTP. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes HTTP manipulados a un dispositivo afectado. Un exploit exitoso podría permitir que el atacante cause una condición de disponibilidad parcial, lo que podría causar que las video llamadas en curso se interrumpan debido a que los paquetes no válidos llegan al Web Bridge.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

Vulnerabilidad en Security Assertion Markup Language (SAML) 2.0 (CVE-2023-20264)
Fecha de publicación:
01/11/2023
Idioma:
Español
Una vulnerabilidad en la implementación de Security Assertion Markup Language (SAML) 2.0 de Single Sign-oOn (SSO) para VPN de acceso remoto en el software Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto no autenticado intercepte la aserción SAML de un usuario que se está autenticando en una sesión VPN de acceso remoto. Esta vulnerabilidad se debe a una validación insuficiente de la URL de inicio de sesión. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que acceda a un sitio que está bajo el control del atacante, permitiéndole modificar la URL de inicio de sesión. Un exploit exitoso podría permitir al atacante interceptar una aserción SAML exitosa y usar esa aserción para establecer una sesión VPN de acceso remoto hacia el dispositivo afectado con la identidad y los permisos del usuario secuestrado, lo que resultaría en acceso a la red protegida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

Vulnerabilidad en Cisco (CVE-2023-20267)
Fecha de publicación:
01/11/2023
Idioma:
Español
Una vulnerabilidad en las reglas de geolocalización de IP de Snort 3 podría permitir que un atacante remoto no autenticado potencialmente evite las restricciones de direcciones IP. Esta vulnerabilidad existe porque la configuración de las reglas de geolocalización de IP no se analiza correctamente. Un atacante podría aprovechar esta vulnerabilidad falsificando una dirección IP hasta omitir la restricción. Un exploit exitoso podría permitir al atacante omitir las restricciones de direcciones IP basadas en la ubicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

Vulnerabilidad en Devolutions Server (CVE-2023-5358)
Fecha de publicación:
01/11/2023
Idioma:
Español
El control de acceso inadecuado en la función de filtros de registro de informes en Devolutions Server 2023.2.10.0 y versiones anteriores permite a los atacantes recuperar registros de bóvedas o entradas a las que no pueden acceder a través de los parámetros de consulta de la URL de solicitud de informe.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/11/2023

Vulnerabilidad en Google Chrome (CVE-2023-5480)
Fecha de publicación:
01/11/2023
Idioma:
Español
La implementación inadecuada en Pagos en Google Chrome anterior a 119.0.6045.105 permitió a un atacante remoto evitar las prevenciones XSS a través de un archivo malicioso. (Severidad de seguridad de Chrome: alta)
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2024

Vulnerabilidad en Google Chrome (CVE-2023-5482)
Fecha de publicación:
01/11/2023
Idioma:
Español
La validación de datos insuficiente en USB en Google Chrome anterior a 119.0.6045.105 permitió a un atacante remoto realizar acceso a la memoria fuera de los límites a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en Cisco Firepower Threat Defense (FTD) (CVE-2023-20070)
Fecha de publicación:
01/11/2023
Idioma:
Español
Una vulnerabilidad en la implementación de TLS 1.3 del software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto no autenticado provoque que el motor de detección Snort 3 se reinicie inesperadamente. Esta vulnerabilidad se debe a un error lógico en cómo se manejan las asignaciones de memoria durante una sesión TLS 1.3. Bajo limitaciones de tiempo específicas, un atacante podría aprovechar esta vulnerabilidad enviando una secuencia de mensajes TLS 1.3 manipulada a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el motor de detección de Snort 3 se recargue, lo que resultaría en una condición de Denegación de Servicio (DoS). Mientras el motor de detección de Snort se recarga, los paquetes que pasan por el dispositivo FTD y se envían al motor de detección de Snort se descartarán. El motor de detección de Snort se reiniciará automáticamente. No se requiere intervención manual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

Vulnerabilidad en Cisco (CVE-2023-20071)
Fecha de publicación:
01/11/2023
Idioma:
Español
Varios productos de Cisco se ven afectados por una vulnerabilidad en el motor de detección Snort que podría permitir que un atacante remoto no autenticado omitir las políticas configuradas en un sistema afectado. Esta vulnerabilidad se debe a una falla en el módulo FTP del motor de detección de Snort. Un atacante podría aprovechar esta vulnerabilidad enviando tráfico FTP manipulado a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante omitir la inspección de FTP y entregar un payload maliciosa.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2024

Vulnerabilidad en Cisco Firepower Threat Defense (FTD) (CVE-2023-20083)
Fecha de publicación:
01/11/2023
Idioma:
Español
Una vulnerabilidad en la inspección ICMPv6 cuando se configura con el motor de detección Snort 2 para el software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto no autenticado haga que la CPU de un dispositivo afectado aumente al 100 por ciento, lo que podría detener todo el procesamiento del tráfico y resultar en una condición de Denegación de Servicio (DoS). El tráfico de gestión de FTD no se ve afectado por esta vulnerabilidad. Esta vulnerabilidad se debe a una comprobación incorrecta de errores al analizar campos dentro del encabezado ICMPv6. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete ICMPv6 manipulado a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo agote los recursos de la CPU y deje de procesar el tráfico, lo que resultaría en una condición DoS. Nota: Para recuperarse de la condición DoS, es posible que sea necesario reiniciar el motor de detección Snort 2 o el dispositivo Cisco FTD.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/01/2024

Vulnerabilidad en Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) (CVE-2023-20095)
Fecha de publicación:
01/11/2023
Idioma:
Español
Una vulnerabilidad en la función VPN de acceso remoto del software Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto no autenticado cause una condición de Denegación de Servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo inadecuado de las solicitudes HTTPS. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTPS manipuladas a un sistema afectado. Un exploit exitoso podría permitir que el atacante provoque el agotamiento de los recursos, lo que resultaría en una condición DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/01/2024
Suscribirse a Vulnerabilidades