Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en xprt_set_caller en rpcb_svc_com.c en rpcbind (CVE-2015-7236)
Fecha de publicación:
01/10/2015
Idioma:
Español
Vulnerabilidad de uso después de liberación de memoria en xprt_set_caller en rpcb_svc_com.c en rpcbind 0.2.1 y versiones anteriores, permite a atacantes remotos provocar una denegación de servicio (caída del demonio) a través de paquetes manipulados, implicando un código PMAP_CALLIT.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en kernel_crashdump en Apport (CVE-2015-1338)
Fecha de publicación:
01/10/2015
Idioma:
Español
kernel_crashdump en Apport en versiones anteriores a 2.19, permite a usuarios locales provocar una denegación de servicio (consumo de disco) o posiblemente obtener privilegios a través de un ataque de enlace (1) simbólico o (2) duro en /var/crash/vmcore.log.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en lxc-start en lxc (CVE-2015-1335)
Fecha de publicación:
01/10/2015
Idioma:
Español
lxc-start en lxc en versiones anteriores a 1.0.8 y 1.1x en versiones anteriores a 1.1.4, permite a los administradores locales del contenedor escapar del confinamiento AppArmor a través de un ataque de enlace simbólico en un (1) montaje destino o (2) enlace a la fuente de montaje.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en SampleTable.cpp en libstagefright en Android (CVE-2015-6575)
Fecha de publicación:
01/10/2015
Idioma:
Español
SampleTable.cpp en libstagefright en Android en versiones anteriores a 5.1.1 LMY48I no considera correctamente la promoción de entero, lo que permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (desbordamiento de entero y corrupción de memoria) a través de atoms manipulados en datos MP4, también conocido como error interno 20139950, una vulnerabilidad diferente a CVE-2015-1538. NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2014-7915, CVE-2014-7916 y/o CVE-2014-7917.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en MPEG4Extractor.cpp en libstagefright en mediaserver en Android (CVE-2015-3864)
Fecha de publicación:
01/10/2015
Idioma:
Español
Desbordamiento de entero inferior en la función MPEG4Extractor::parseChunk en MPEG4Extractor.cpp en libstagefright en mediaserver en Android en versiones anteriores a 5.1.1 LMY48M permite a atacantes remotos ejecutar código arbitrario a través de datos MPEG-4 manipulados, también conocido como error interno 23034759. NOTA: esta vulnerabilidad existe debido a una solución incompleta para la CVE-2015-3824.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en Blob en Keystore en Android (CVE-2015-3863)
Fecha de publicación:
01/10/2015
Idioma:
Español
Múltiples desbordamientos de entero en la clase Blob en keystore/keystore.cpp en Keystore en Android en versiones anteriores a 5.1.1 LMY48M permiten a atacantes ejecutar código arbitrario y leer claves de Keystore arbitrarias a través de una aplicación que utilice un blob manipulado en una operación insert, también conocido como error interno 22802399.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en addVorbisCodecInfo en matroska/MatroskaExtractor.cpp en libstagefright en mediaserver en Android (CVE-2015-3861)
Fecha de publicación:
01/10/2015
Idioma:
Español
Múltiples desbordamientos de entero en la función addVorbisCodecInfo en matroska/MatroskaExtractor.cpp en libstagefright en mediaserver en Android en versiones anteriores a 5.1.1 LMY48M permiten a atacantes remotos provocar una denegación de servicio (inoperatividad del dispositivo) a través de datos Matroska manipulados, también conocido como error interno 21296336.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en packages/Keyguard/res/layout/keyguard_password_view.xml en Lockscreen en Android (CVE-2015-3860)
Fecha de publicación:
01/10/2015
Idioma:
Español
packages/Keyguard/res/layout/keyguard_password_view.xml en Lockscreen en Android 5.x en versiones anteriores a 5.1.1 LMY48M no restringe el número de caracteres en el campo de entrada passwordEntry, lo que permite a atacantes próximos físicamente eludir las restricciones destinadas al acceso a través de una contraseña larga que desencadena una caída de SystemUI, también conocido como error interno 22214934.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en checkDestination en internal/telephony/SMSDispatcher.java en Android (CVE-2015-3858)
Fecha de publicación:
01/10/2015
Idioma:
Español
La función checkDestination en internal/telephony/SMSDispatcher.java en Android en versiones anteriores a 5.1.1 LMY48M confía en un nombre de permiso obsoleto para una comporbación de autorización, lo que permite a atacantes eludir un requisito destinado a la confirmación de usuario para enviar mensajes de código corto de SMS a través de una aplicación manipulada, también conocido como error interno 22314646.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en Region_createFromParcel en core/jni/android/graphics/Region.cpp en Region en Android (CVE-2015-3849)
Fecha de publicación:
01/10/2015
Idioma:
Español
La función Region_createFromParcel en core/jni/android/graphics/Region.cpp en Region en Android en versiones anteriores a 5.1.1 LMY48M no comprueba los valores de retorno de ciertas operaciones de lectura, lo que permite a atacantes ejecutar código arbitrario a través de una aplicación que envía un mensaje manipulado a un servicio, también conocido como error interno 21585255.
Gravedad CVSS v2.0: ALTA
Última modificación:
12/04/2025

Vulnerabilidad en Parcel::appendFrom en libs/binder/Parcel.cpp en Binder en Android (CVE-2015-3845)
Fecha de publicación:
01/10/2015
Idioma:
Español
La función Parcel::appendFrom en libs/binder/Parcel.cpp en Binder en Android en versiones anteriores a 5.1.1 LMY48M no tiene en cuenta los límites del parcel durante la identificación de los objetos del binder en una operación de unión, lo que permite a atacantes obtener unos privilegios de aplicación diferente a través de una aplicación manipulada, también conocido como error interno 17312693.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025

Vulnerabilidad en getProcessRecordLocked en services/core/java/com/android/server/am/ActivityManagerService.java en ActivityManager en Android (CVE-2015-3844)
Fecha de publicación:
01/10/2015
Idioma:
Español
El método getProcessRecordLocked en services/core/java/com/android/server/am/ActivityManagerService.java en ActivityManager en Android en versiones anteriores a 5.1.1 LMY48I permite a atacantes desencadenar una carga de proceso incorrecta a través de una aplicación manipulada, según lo demostrado interfiriendo con la utilización de la aplicación Settings, también conocido como error interno 21669445.
Gravedad CVSS v2.0: MEDIA
Última modificación:
12/04/2025
Suscribirse a Vulnerabilidades