Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Juniper Networks Junos OS (CVE-2023-44199)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una vulnerabilidad de Verificación Inadecuada de Condiciones Inusuales o Excepcionales en Packet Forwarding Engine (PFE) de Juniper Networks Junos OS en la serie MX permite que un atacante no autenticado basado en la red provoque una Denegación de Servicio (DoS). En las plataformas Junos MX Series con Precision Time Protocol (PTP) configurado, una rotación prolongada del protocolo de enrutamiento puede provocar un bloqueo y reinicio del FPC. Este problema afecta a Juniper Networks Junos OS en la serie MX: * Todas las versiones anteriores a 20.4R3-S4; * 21.1 versión 21.1R1 y versiones posteriores; * Versiones 21.2 anteriores a 21.2R3-S2; * Versiones 21.3 anteriores a 21.3R3-S5; * Versiones 21.4 anteriores a 21.4R3; * Versiones 22.1 anteriores a 22.1R3; * Versiones 22.2 anteriores a 22.2R1-S1, 22.2R2.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2023

Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2023-44201)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una vulnerabilidad de asignación de permisos incorrecta para recursos críticos en un archivo específico de Juniper Networks Junos OS y Junos OS Evolved permite a un atacante autenticado local leer cambios de configuración sin tener los permisos. Cuando un usuario con los permisos respectivos realiza un cambio de configuración, se crea un archivo específico. Ese archivo es legible incluso por usuarios sin permisos para acceder a la configuración. Esto puede provocar una escalada de privilegios, ya que el usuario puede leer el hash de la contraseña cuando se realiza un cambio de esta. Este problema afecta a: Juniper Networks Junos OS * Todas las versiones anteriores a 20.4R3-S4; * Versiones 21.1 anteriores a 21.1R3-S4; * Versiones 21.2 anteriores a 21.2R3-S2; * Versiones 21.3 anteriores a 21.3R2-S2, 21.3R3-S1; * Versiones 21.4 anteriores a 21.4R2-S1, 21.4R3. Juniper Networks Junos OS Evolved * Todas las versiones anteriores a 20.4R3-S4-EVO; * Versiones 21.1 anteriores a 21.1R3-S2-EVO; * Versiones 21.2 anteriores a 21.2R3-S2-EVO; * Versiones 21.3 anteriores a 21.3R3-S1-EVO; * Versiones 21.4 anteriores a 21.4R2-S2-EVO.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2023

Vulnerabilidad en Juniper Networks Junos OS (CVE-2023-44203)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una vulnerabilidad de verificación o manejo inadecuado de condiciones excepcionales en Packet Forwarding Engine (pfe) de Juniper Networks Junos OS en las series QFX5000, EX2300, EX3400, EX4100, EX4400 y EX4600 permite que un atacante adyacente envíe tráfico específico, lo que provoca una inundación de paquetes. resultando en una Denegación de Servicio (DoS). Cuando se recibe un paquete IGMP específico en una VLAN aislada, se duplica en todos los demás puertos de la VLAN principal, lo que provoca una inundación. Este problema afecta únicamente a las series QFX5000, EX2300, EX3400, EX4100, EX4400 y EX4600. Este problema afecta a Juniper Junos OS en las series QFX5000, EX2300, EX3400, EX4100, EX4400 y EX4600: * Todas las versiones anteriores a 20.4R3-S5; * Versiones 21.1 anteriores a 21.1R3-S4; * Versiones 21.2 anteriores a 21.2R3-S3; * Versiones 21.3 anteriores a 21.3R3-S5; * Versiones 21.4 anteriores a 21.4R3-S2; * Versiones 22.1 anteriores a 22.1R3; * Versiones 22.2 anteriores a 22.2R3; * Versiones 22.3 anteriores a 22.3R2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2023

Vulnerabilidad en Juniper Networks Junos OS (CVE-2023-44176)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en el comando CLI de Juniper Networks Junos OS permite a un atacante con pocos privilegios ejecutar comandos CLI específicos que conducen a una Denegación de Servicio. Las acciones repetidas del atacante crearán una condición sostenida de Denegación de Servicio (DoS). Este problema afecta a Juniper Networks: Junos OS: * Todas las versiones anteriores a 20.4R3-S8; * Versiones 21.2 anteriores a 21.2R3-S6; * Versiones 21.3 anteriores a 21.3R3-S5; * Versiones 22.1 anteriores a 22.1R3-S3; * Versiones 22.3 anteriores a 22.3R3; * Versiones 22.4 anteriores a 22.4R3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/10/2023

Vulnerabilidad en Juniper Networks Junos y Junos EVO (CVE-2023-44177)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en el comando CLI de Juniper Networks Junos y Junos EVO permite a un atacante con pocos privilegios ejecutar comandos CLI específicos que conducen a una Denegación de Servicio. Las acciones repetidas del atacante crearán una condición sostenida de Denegación de Servicio (DoS). Este problema afecta a Juniper Networks: Junos OS: * Todas las versiones anteriores a 19.1R3-S10; * Versiones 19.2 anteriores a 19.2R3-S7; * Versiones 19.3 anteriores a 19.3R3-S8; * Versiones 19.4 anteriores a 19.4R3-S12; * Versiones 20.2 anteriores a 20.2R3-S8; * Versiones 20.4 anteriores a 20.4R3-S8; * Versiones 21.2 anteriores a 21.2R3-S6; * Versiones 21.3 anteriores a 21.3R3-S5; * Versiones 21.4 anteriores a 21.4R3-S4; * Versiones 22.1 anteriores a 22.1R3-S3; * Versiones 22.2 anteriores a 22.2R3-S1; * Versiones 22.3 anteriores a 22.3R3; * Versiones 22.4 anteriores a 22.4R2. Junos OS Evolved: * Todas las versiones anteriores a 20.4R3-S8-EVO; * Versiones 21.2 anteriores a 21.2R3-S6-EVO; * Versiones 21.3 anteriores a 21.3R3-S5-EVO; * Versiones 21.4 anteriores a 21.4R3-S4-EVO; * Versiones 22.1 anteriores a 22.1R3-S3-EVO; * Versiones 22.2 anteriores a 22.2R3-S1-EVO; * Versiones 22.3 anteriores a 22.3R3-EVO; * Versiones 22.4 anteriores a 22.4R2-EVO.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2023

Vulnerabilidad en Juniper Networks Junos OS (CVE-2023-44178)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en el comando CLI de Juniper Networks Junos OS permite a un atacante con pocos privilegios ejecutar comandos CLI específicos que conducen a una Denegación de Servicio. Las acciones repetidas del atacante crearán una condición sostenida de Denegación de Servicio (DoS). Este problema afecta a Juniper Networks: Junos OS * Todas las versiones anteriores a 19.1R3-S10; * Versiones 19.2 anteriores a 19.2R3-S7; * Versiones 19.3 anteriores a 19.3R3-S8; * Versiones 19.4 anteriores a 19.4R3-S12; * Versiones 20.2 anteriores a 20.2R3-S8; * Versiones 20.4 anteriores a 20.4R3-S8; * Versiones 21.2 anteriores a 21.2R3-S6; * Versiones 21.3 anteriores a 21.3R3-S5; * Versiones 21.4 anteriores a 21.4R3-S5; * Versiones 22.1 anteriores a 22.1R3-S3; * Versiones 22.2 anteriores a 22.2R3-S2; * Versiones 22.3 anteriores a 22.3R3-S1; * Versiones 22.4 anteriores a 22.4R2-S1; * Versiones 23.2 anteriores a 23.2R2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/10/2023

Vulnerabilidad en Juniper Networks (CVE-2023-44181)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una verificación de seguridad implementada incorrectamente para una vulnerabilidad estándar en el control de tormentas de los dispositivos Junos OS QFX5k de Juniper Networks permite que los paquetes se envíen a la cola ARP, lo que provoca un bucle l2 que genera violaciones de DDOS y un registro del sistema DDOS. Este problema se activa cuando el control de tormentas está habilitado y hay paquetes ICMPv6 presentes en el dispositivo. Este problema afecta a Juniper Networks: Junos OS * Todas las versiones anteriores a 20.2R3-S6 en QFX5k; * Versiones 20.3 anteriores a 20.3R3-S5 en QFX5k; * Versiones 20.4 anteriores a 20.4R3-S5 en QFX5k; * Versiones 21.1 anteriores a 21.1R3-S4 en QFX5k; * Versiones 21.2 anteriores a 21.2R3-S3 en QFX5k; * Versiones 21.3 anteriores a 21.3R3-S2 en QFX5k; * Versiones 21.4 anteriores a 21.4R3 en QFX5k; * Versiones 22.1 anteriores a 22.1R3 en QFX5k; * Versiones 22.2 anteriores a 22.2R2 en QFX5k.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2023

Vulnerabilidad en Juniper Networks Juno OS y Juno OS Evolved (CVE-2023-44182)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una vulnerabilidad de valor de retorno no verificado en las interfaces de usuario de Juniper Networks Junos OS y Junos OS Evolved, el CLI, la API XML, el protocolo de administración XML, el protocolo de administración NETCONF, las interfaces gNMI y las interfaces de usuario J-Web provoca causas no deseadas. Se producirán efectos tales como degradación o elevación de privilegios asociados con las acciones de un operador. Pueden ocurrir múltiples escenarios; por ejemplo: escalada de privilegios sobre el dispositivo u otra cuenta, acceso a archivos que de otro modo no deberían ser accesibles, archivos que no son accesibles donde deberían serlo, código que se espera que se ejecute como no root puede ejecutarse como root, etc. Este problema afecta a: Juniper Networks Junos OS * Todas las versiones anteriores a 20.4R3-S7; * Versiones 21.1 anteriores a 21.1R3-S5; * Versiones 21.2 anteriores a 21.2R3-S5; * Versiones 21.3 anteriores a 21.3R3-S4; * Versiones 21.4 anteriores a 21.4R3-S3; * Versiones 22.1 anteriores a 22.1R3-S2; * Versiones 22.2 anteriores a 22.2R2-S2, 22.2R3; * Versiones 22.3 anteriores a 22.3R1-S2, 22.3R2. Juniper Networks Junos OS Evolved * Todas las versiones anteriores a 21.4R3-S3-EVO; * 22.1-EVO versión 22.1R1-EVO y versiones posteriores anteriores a 22.2R2-S2-EVO, 22.2R3-EVO; * Versiones 22.3-EVO anteriores a 22.3R1-S2-EVO, 22.3R2-EVO.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2023

Vulnerabilidad en Juniper Networks Juno OS (CVE-2023-44183)
Fecha de publicación:
13/10/2023
Idioma:
Español
Una vulnerabilidad de validación de entrada incorrecta en Packet Forwarding Engine (PFE) VxLAN de Juniper Networks Junos OS en dispositivos de las series QFX5000 y EX4600 permite que un atacante adyacente no autenticado envíe dos o más paquetes genuinos en la misma topología VxLAN para causar posiblemente una memoria DMA que se produzca una fuga en diversas condiciones operativas específicas. El escenario descrito aquí es el peor de los casos. Hay otros escenarios que requieren la acción del operador. Se puede ver un indicador de compromiso cuando varios dispositivos indican que FPC0 ha desaparecido al emitir un comando show chasis fpc durante aproximadamente 10 a 20 minutos, y también han desaparecido varias interfaces. Utilice el siguiente comando para determinar si FPC0 ha desaparecido del dispositivo. muestre el detalle del fpc del chasis Este problema afecta a: Juniper Networks Junos OS en las series QFX5000 y EX4600: * 18.4 versión 18.4R2 y versiones posteriores anteriores a 20.4R3-S8; * 21.1 versión 21.1R1 y versiones posteriores anteriores a 21.2R3-S6; * Versiones 21.3 anteriores a 21.3R3-S5; * Versiones 21.4 anteriores a 21.4R3-S4; * Versiones 22.1 anteriores a 22.1R3-S3; * Versiones 22.2 anteriores a 22.2R3-S1; * Versiones 22.3 anteriores a 22.3R2-S2, 22.3R3; * Versiones 22.4 anteriores a 22.4R2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2023

Vulnerabilidad en Juniper Networks Junos OS (CVE-2023-36843)
Fecha de publicación:
12/10/2023
Idioma:
Español
Una vulnerabilidad de manejo inadecuado de elementos especiales inconsistentes en el módulo Junos Services Framework (jsf) de Juniper Networks Junos OS permite que un atacante basado en red no autenticado cause una falla en Packet Forwarding Engine (pfe) y, por lo tanto, resulte en una Denegación de Servicio (DoS). ). Al recibir tráfico SSL con formato incorrecto, el PFE falla. Será necesario un reinicio manual para recuperar el dispositivo. Este problema solo afecta a los dispositivos con Juniper Networks Advanced Threat Prevention (ATP) Cloud habilitado con Encrypted Traffic Insights (configurado a través de la 'política de transmisión de metadatos de seguridad'). Este problema afecta a Juniper Networks Junos OS: * Todas las versiones anteriores a 20.4R3-S8, 20.4R3-S9; * 21.1 versión 21.1R1 y versiones posteriores; * Versiones 21.2 anteriores a 21.2R3-S6; * Versiones 21.3 anteriores a 21.3R3-S5; * Versiones 21.4 anteriores a 21.4R3-S5; * Versiones 22.1 anteriores a 22.1R3-S4; * Versiones 22.2 anteriores a 22.2R3-S2; * Versiones 22.3 anteriores a 22.3R2-S2, 22.3R3; * Versiones 22.4 anteriores a 22.4R2-S1, 22.4R3;
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2024

Vulnerabilidad en Plixer Scrutinizer (CVE-2023-41261)
Fecha de publicación:
12/10/2023
Idioma:
Español
Se descubrió un problema en /fcgi/scrut_fcgi.fcgi en Plixer Scrutinizer antes de 19.3.1. La acción de endpoint csvExportReport generateCSV no requiere autenticación y permite a un usuario no autenticado exportar un informe y acceder a los resultados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2023

Vulnerabilidad en Plixer Scrutinizer (CVE-2023-41262)
Fecha de publicación:
12/10/2023
Idioma:
Español
Se descubrió un problema en /fcgi/scrut_fcgi.fcgi en Plixer Scrutinizer antes de 19.3.1. La acción de endpoint csvExportReport generateCSV es vulnerable a la inyección de SQL a través del parámetro de clasificación, lo que permite a un usuario no autenticado ejecutar declaraciones SQL arbitrarias en el contexto del servidor de base de datos backend de la aplicación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/10/2023
Suscribirse a Vulnerabilidades