Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WolfCMS (CVE-2018-18824)

Fecha de publicación:
25/04/2019
Idioma:
Español
WolfCMS versión 0.8.3.1 permite Cross-site scripting (XSS) a través de un archivo SVG a /?/admin/plugin/file_manager/browse/.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en dispositivo Android de Essential Phone con una huella digital de compilación (CVE-2018-14994)

Fecha de publicación:
25/04/2019
Idioma:
Español
El dispositivo Android de Essential Phone con una huella digital de compilación essential/mata/mata:8.1.0/OPM1.180104.166/297:user/release-keys alberga una aplicación de plataforma preinstalada con el nombre del paquete com.ts.android.hiddenmenu (versionName=1.0, platformBuildVersionName=8.1.0) que contiene un componente de aplicación de actividad exportada denominado com.ts.android.hiddenmenu.rtn.RTNResetActivity que permite que cualquier aplicación dentro del dispositivo inicie un restablecimiento de fábrica programadamente. Adicionamete, la aplicación que inicia el restablecimiento de fábrica no requiere ningún permiso. Un restablecimiento de fábrica suprimirá todos los datos de usuario y aplicaciones del dispositivo. Esto conllevará a la pérdida de cualquier dato que no haya sido respaldado o sincronizado externamente. La capacidad para ejecutar un restablecimiento de fábrica no está disponible directamente para aplicaciones de terceros (aquellas que el usuario se instala solo con la excepción de las aplicaciones de Mobile Device Management (MDM) habilitadas), aunque esta capacidad puede ser conseguida al operar un componente de aplicación no protegido de una aplicación de plataforma preinstalada.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en dispositivo Android Oppo F5 con una huella digital (CVE-2018-14996)

Fecha de publicación:
25/04/2019
Idioma:
Español
El dispositivo Android Oppo F5 con una huella digital de compilación OPPO/CPH1723/CPH1723:7.1.1/N6F26Q/1513597833:user/release-keys alberga una aplicación de plataforma preinstalada con el nombre del paquete com.dropboxchmod (versionCode=1, versionName=1.0) que contiene un servicio exportado llamado com.dropboxchmod.DropboxChmodService que permite que cualquier aplicación dentro del dispositivo proporcione comandos arbitrarios para ser ejecutados como usuario del sistema. Esta aplicación no puede ser desactivada por el usuario y el ataque puede ser ejecutado por una aplicación de cero permisos. La ejecución de comandos como usuario del sistema puede permitir que una aplicación de terceros grabe en video la pantalla del usuario, restaure el dispositivo de fábrica, consiga las notificaciones del usuario, lea los registros de logcat, inyecte eventos en la Interfaz Gráfica de Usuario (GUI) y obtenga los mensajes de texto de usuario, y más. Esta vulnerabilidad también puede ser usada para grabar en secreto el audio del usuario sin conocerlo en el dispositivo Oppo F5. La aplicación com.oppo.engineermode preinstalada (versionCode = 25, versionName=V1.01) tiene una actividad exportada que puede ser activada para iniciar una grabación y descartarse rápidamente. La actividad puede ser iniciada de manera que el usuario no pueda ver la aplicación en la lista de aplicaciones recientes. El archivo amr de audio resultante puede ser copiado desde una ubicación en el almacenamiento interno usando la ejecución de comandos arbitrarios como vulnerabilidad del usuario del sistema. La ejecución de comandos como usuario del sistema puede permitir que una aplicación de terceros restablezca el dispositivo de fábrica, consiga las notificaciones del usuario, lea los registros de Logcat, inyecte eventos en la Interfaz gráfica de usuario (GUI), cambie el Editor de métodos de entrada (IME) por defecto (por ejemplo, teclado) con un contenido dentro de la aplicación atacante que comprende la funcionalidad de registro de teclas, conseguir los mensajes de texto del usuario y más.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en dispositivos Android Leagoo P1 con una huella digital (CVE-2018-14997)

Fecha de publicación:
25/04/2019
Idioma:
Español
El dispositivo Android Leagoo P1 con una huella digital de compilación de sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys contiene el framework android (es decir, system_server) con un nombre de paquete de android que ha sido modificado por Leagoo u otra entidad en la cadena de suministros. El proceso system_server en el paquete central de Android tiene un receptor de difusión exportado que permite a cualquier aplicación dentro del dispositivo iniciar la captura de pantalla de programadamente y que la captura de pantalla resultante sea escrita en el almacenamiento externo. La toma de una captura de pantalla no es transparente para el usuario; el dispositivo tiene una animación en pantalla a medida que se toma la captura de pantalla y se presenta una notificación indicando que ocurrió una captura de pantalla. Si la aplicación atacante también solicita el permiso EXPAND_STATUS_BAR, puede activar el dispositivo usando ciertas técnicas y extender la barra de estado para tomar una captura de pantalla de las notificaciones del usuario, inclusive si el dispositivo cuenta con un bloqueo de pantalla activo. Las notificaciones pueden contener datos confidenciales, como mensajes de texto usados en la autenticación de dos factores. El proceso system_server que suple esta capacidad no puede ser desactivado, ya que forma parte del framework de Android. La notificación puede ser eliminada por un ataque local de Denegación de Servicio (DoS) para reiniciar el dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en Leagoo P1 con una huella digital de (CVE-2018-14999)

Fecha de publicación:
25/04/2019
Idioma:
Español
El dispositivo Leagoo P1 con una huella digital de compilación de sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete com.wtk.factory (versionCode=1, versionName=1.0) que contiene un receptor de difusión exportado llamado com.wtk.factory.MMITestReceiver, lo que permite que cualquier aplicación dentro del dispositivo inicie un restablecimiento de fábrica programadamente. Además, la aplicación que inicia el restablecimiento de fábrica no requiere ningún permiso. Un restablecimiento de fábrica suprimirá todos los datos de usuario y aplicaciones del dispositivo. Esto conllevará a la pérdida de cualquier dato que no se presenta sido respaldado o sincronizado externamente. La capacidad para realizar un restablecimiento de fábrica no está disponible directamente para aplicaciones de terceros (aquellas que el usuario se instala solo con la excepción de las aplicaciones de Mobile Device Management (MDM) habilitadas), a pesar de que esta capacidad se puede conseguir al aprovechar un componente de aplicación no protegido de una aplicación de plataforma preinstalada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2026

Vulnerabilidad en el dispositivo Android Vivo V7 (CVE-2018-15000)

Fecha de publicación:
25/04/2019
Idioma:
Español
El dispositivo Android Vivo V7 con una huella digital de compilación vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys contiene una aplicación de plataforma con un nombre de paquete com.vivo.smartshot (versionCode=1, versionName=3.0.0). Esta aplicación incluye un servicio exportado llamado com.vivo.smartshot.ui.service.ScreenRecordService que grabará la pantalla durante 60 minutos y escribirá el archivo mp4 en la ubicación que elija el usuario. Normalmente, una notificación de grabación será visible para el usuario, pero descubrimos un método para hacerlo más transparente para el usuario al eliminar rápidamente una notificación y un ícono flotante. El usuario puede observar un ícono flotante y la notificación aparece y desaparece rápidamente debido a la rápida detención y reinicio del servicio con distintos parámetros que no interfieren con la grabación de la pantalla en curso. La grabación de la pantalla tiene una duración de 60 minutos y puede ser escrita directamente en el directorio privado de la aplicación atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en dispositivos Android de Coolpad Defiant (CVE-2018-15003)

Fecha de publicación:
25/04/2019
Idioma:
Español
Los dispositivos Android de Coolpad Defiant (Coolpad/cp3632a/cp3632a:7.1.1/NMF26F/099480857:user/release-keys) y T-Mobile Revvl Plus (Coolpad/alchemy/alchemy:7.1.1/143.14.171129.3701A-TMO/buildf_nj_02-206:user/release-keys) contienen una aplicación de plataforma preinstalada con un nombre de paquete com.qualcomm.qti.telephony.extcarrierpack (versionCode=25, versionName=7.1.1) que contiene un componente exportado de la aplicación del receptor de difusión denominado com.qualcomm.qti.telephony.extcarrierpack.UiccReceiver, el cual permite que cualquier aplicación dentro del dispositivo ejecute un restablecimiento de fábrica por programación. Además, la aplicación que inicia el restablecimiento de fábrica no requiere ningún permiso. Un restablecimiento de fábrica suprimirá todos los datos de usuario y aplicaciones del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido respaldado o sincronizado externamente. La capacidad para realizar un restablecimiento de fábrica no está disponible directamente para aplicaciones de terceros (aquellas que el usuario se instala solo con la excepción de las aplicaciones de Mobile Device Management (MDM) habilitadas), mientras esta capacidad se puede obtener mediante el aprovechamiento de un componente de aplicación no protegido de una aplicación de plataforma preinstalada.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en AudioCodes 405HD (CVE-2018-16216)

Fecha de publicación:
25/04/2019
Idioma:
Español
Una inyección de comando (falta de validación de entrada, escapado) en la monitorización o interfaz web de estado de la memoria en el teléfono VoIP AudioCodes 405HD (firmware 2.2.12) permite que un atacante remoto autenticado en la misma red que el dispositivo active comandos del sistema operativo (como iniciar telnetd o abrir un shell inverso) a través de una solicitud POST al servidor web. En combinación con otro ataque (cambio de contraseña no autenticada), el atacante puede eludir el requisito de autenticación.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en VoIP AudioCodes 405HD (CVE-2018-16219)

Fecha de publicación:
25/04/2019
Idioma:
Español
Una falta de verificación de contraseñas en la interfaz web del teléfono VoIP AudioCodes 405HD, con firmware 2.2.12, permite a un atacante remoto (en la misma red que el dispositivo) cambiar la contraseña del administrador sin necesidad de autenticación a través de una solicitud POST.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en AudioCodes 405HD VoIP (CVE-2018-16220)

Fecha de publicación:
25/04/2019
Idioma:
Español
Ataques de Cross Site Scripting (XSS) en diferentes campos de entrada (campo de dominio y ajustes personales) en el teléfono VoIP AudioCodes 405HD, con firmware 2.2.12, permite a un atacante (local o remoto) inyectar JavaScript en la interfaz web del dispositivo manipulando las entradas de la guía telefónica o manipulando el nombre de dominio enviado al dispositivo desde el controlador de dominio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en Imperva SecureSphere (CVE-2018-16660)

Fecha de publicación:
25/04/2019
Idioma:
Español
Una vulnerabilidad de inyección de comandos en PWS en Imperva SecureSphere versión 13.0.0.10 y 13.1.0.10 Gateway, permite a un atacante con acceso autenticado ejecutar comandos arbitrarios del SO en una instalación vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en Android ASUS ZenFone 3 Max con una huella digital (CVE-2018-14980)

Fecha de publicación:
25/04/2019
Idioma:
Español
El dispositivo Android ASUS ZenFone 3 Max con una huella digital de compilación de asus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys, contiene el framework de Android (es decir, system_server) con un nombre de paquete de android (versionCode=24, versionName=7.0) que ha sido modificado por ASUS u otra entidad en la cadena de suministro. El proceso system_server en el paquete central de Android tiene un receptor de difusión exportado que permite que cualquier aplicación dentro del dispositivo iniciar la captura de pantalla de manera programada y que la captura de pantalla sea escrita en un almacenamiento externo (es decir, sdcard). La toma de una captura de pantalla no es transparente para el usuario; el dispositivo tiene una animación de pantalla a medida que se toma la captura de pantalla y se presenta una notificación indicando que ocurrió una captura de pantalla. Si la aplicación atacante también solicita el permiso EXPAND_STATUS_BAR, puede activar el dispositivo usando ciertas técnicas y expandir la barra de estado para tomar una captura de pantalla de las notificaciones del usuario, incluso si el dispositivo tiene un bloqueo de pantalla activo. Las notificaciones pueden contener datos confidenciales, como mensajes de texto usados en la autenticación de dos factores. El proceso system_server que suministra esta capacidad no se puede desactivar, ya que forma parte del marco de Android. La notificación puede ser eliminada por un ataque local de Denegación de Servicio (DoS) para reiniciar el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026