Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la comprobación de certificado en Helpdesk de QNAP (CVE-2018-19946)
Fecha de publicación:
11/09/2020
Idioma:
Español
Se ha reportado que la vulnerabilidad afecta a versiones anteriores de Helpdesk. Si es explotada, esta vulnerabilidad de comprobación de certificado inapropiada podría permitir a un atacante falsificar una entidad confiable interfiriendo en la ruta de comunicación entre el host y el cliente. QNAP ya corrigió el problema en Helpdesk versiones 3.0.3 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2020

Vulnerabilidad en una aplicación web en Helpdesk de QNAP (CVE-2018-19948)
Fecha de publicación:
11/09/2020
Idioma:
Español
Se ha reportado que la vulnerabilidad afecta a versiones anteriores de Helpdesk. Si es explotada, esta vulnerabilidad de tipo cross-site request forgery (CSRF) podría permitir a atacantes obligar a usuarios del NAS a ejecutar acciones involuntarias por medio de una aplicación web. QNAP ya corrigió el problema en Helpdesk versiones 3.0.3 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2020

Vulnerabilidad en Helpdesk de QNAP (CVE-2018-19947)
Fecha de publicación:
11/09/2020
Idioma:
Español
Se ha reportado que la vulnerabilidad afecta a versiones anteriores de Helpdesk. Si es explotada, esta vulnerabilidad de exposición de información podría revelar información confidencial. QNAP ya corrigió el problema en Helpdesk versiones 3.0.3 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2020

Vulnerabilidad en un recurso expuesto a la esfera de control equivocada en diversos dispositivos de monitorización de pacientes Philips (CVE-2020-16212)
Fecha de publicación:
11/09/2020
Idioma:
Español
Patient Information Center iX (PICiX) Versiones B.02, C.02, C.03, PerformanceBridge Focal Point Versión A.01, Monitores de paciente IntelliVue MX100, MX400-MX850 y MP2-MP90 Versiones N y anteriores, IntelliVue X3 y X2 Versiones N y anteriores. El producto expone un recurso a la esfera de control equivocada, proporcionando a los actores no deseados un acceso inapropiado al recurso. La aplicación en la estación de supervisión opera en modo Kiosk, que es vulnerable a filtraciones locales que podrían permitir a un atacante con acceso físico escapar el entorno restringido con privilegios limitados
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2023

Vulnerabilidad en la interfaz set_WAN6 en el enrutador Xiaomi R3600 ROM (CVE-2020-14100)
Fecha de publicación:
11/09/2020
Idioma:
Español
En el enrutador Xiaomi R3600 ROM versiones anteriores a 1.0.66, los filtros en la interfaz set_WAN6 pueden ser omitidos, causando una ejecución de código remota. El administrador del enrutador puede conseguir acceso root a partir de esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en una vinculación con un transporte, ya sea LE o BR/EDR en Cross Transport Key Derivation en Bluetooth Core Specification (CVE-2020-15802)
Fecha de publicación:
11/09/2020
Idioma:
Español
Los dispositivos compatibles con Bluetooth versiones anteriores a 5.1, pueden permitir ataques de tipo man-in-the-middle. Cross Transport Key Derivation en Bluetooth Core Specification versiones v4.2 y v5.0, puede permitir a un usuario no autenticado establecer una vinculación con un transporte, ya sea LE o BR/EDR, y reemplazar una vinculación ya establecida en el transporte opuesto, BR/EDR o LE, potencialmente sobrescribiendo una clave autenticada con una clave no autenticada, o una clave con mayor entropía con una con menos
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2022

Vulnerabilidad en la comprobación de un firmware durante el proceso OTA en el altavoz Xiaomi AI Rom (CVE-2020-14096)
Fecha de publicación:
11/09/2020
Idioma:
Español
Un desbordamiento de memoria en el altavoz Xiaomi AI Rom versiones anteriores a 1.59.6, puede ocurrir cuando el altavoz comprueba un firmware malicioso durante el proceso OTA
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/09/2020

Vulnerabilidad en el uso de un XML en StreamGenerator (CVE-2020-11991)
Fecha de publicación:
11/09/2020
Idioma:
Español
Cuando se usa StreamGenerator, el código analiza un XML proporcionado por el usuario. Se podría usar un XML especialmente diseñado, incluyendo las entidades de sistema externas, podría ser usado para acceder a cualquier archivo en el sistema del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2020

Vulnerabilidad en la falta de control de entrada en diversos teléfonos inteligentes Huawei (CVE-2020-9239)
Fecha de publicación:
11/09/2020
Idioma:
Español
Teléfonos inteligentes Huawei BLA-A09 versiones 8.0.0.123(C212), versiones anteriores a 8.0.0.123(C567), versiones anteriores a 8.0.0.123(C797); BLA-TL00B versiones anteriores a 8.1.0.326(C01); Berkeley-L09 versiones anteriores a 8.0.0.163(C10), versiones anteriores a 8.0.0.163(C432), versiones anteriores a 8.0.0.163(C636), versiones anteriores a 8.0.0.172(C10); Duke-L09 versiones Duke-L09C10B187, versiones Duke- L09C432B189, versiones Duke-L09C636B189; HUAWEI P20 versiones anteriores a 8.0.1.16(C00); HUAWEI P20 Pro versiones anteriores a 8.1.0.152(C00); Jimmy-AL00A versiones anteriores a Jimmy-AL00AC00B172; LON-L29D versiones LON-L29DC721B192; NEO-AL00D versiones anteriores a 8.1.0.172(C786); Stanford-AL00 versiones Stanford-AL00C00B123; Toronto-AL00 versiones anteriores a Toronto-AL00AC00B225; Toronto-AL00A versiones anteriores a Toronto-AL00AC00B225; Toronto-TL10 versiones anteriores a Toronto-TL10C01B225, presentan una vulnerabilidad de información. Un módulo presenta un error de diseño que es la falta de control de entrada. Unos atacantes pueden explotar esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en la comprobación de las propiedades necesarias de la entrada para procesar los datos en diversos dispositivos de monitorización de pacientes Philips (CVE-2020-16216)
Fecha de publicación:
11/09/2020
Idioma:
Español
Patient Information Center iX (PICiX) Versiones B.02, C.02, C.03, PerformanceBridge Focal Point Versión A.01, Monitores de paciente IntelliVue MX100, MX400-MX850 y MP2-MP90 Versiones N y anteriores, IntelliVue X3 y X2 Versiones N y anteriores. El producto recibe una entrada o datos pero no comprueba o comprueba incorrectamente que la entrada presenta las propiedades necesarias para procesar los datos seguramente y correctamente, lo que puede inducir una condición de denegación de servicio por medio de un reinicio del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en la comprobación de la sintaxis de la entrada en el servicio de inscripción de certificados en diversos dispositivos de monitorización de pacientes Philips (CVE-2020-16220)
Fecha de publicación:
11/09/2020
Idioma:
Español
Patient Information Center iX (PICiX) Versiones B.02, C.02, C.03, PerformanceBridge Focal Point Versión A.01, Monitores de paciente IntelliVue MX100, MX400-MX850 y MP2-MP90 Versiones N y anteriores, IntelliVue X3 y X2 Versiones N y anteriores. El producto recibe una entrada que se espera que esté bien formada (es decir, que cumpla con una determinada sintaxis) pero no comprueba o comprueba incorrectamente que la entrada cumple con la sintaxis, causando que el servicio de inscripción de certificados se bloque. No impacta la supervisión, pero evita que se inscriban nuevos dispositivos
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en el análisis de una estructura o mensaje formateado en diversos dispositivos de monitorización de pacientes Philips (CVE-2020-16224)
Fecha de publicación:
11/09/2020
Idioma:
Español
Patient Information Center iX (PICiX) Versiones B.02, C.02, C.03, PerformanceBridge Focal Point Versión A.01, monitores de paciente IntelliVue MX100, MX400-MX850 y MP2-MP90 Versiones N y anteriores, IntelliVue X3 y X2 Versiones N y anteriores. El software analiza una estructura o mensaje formateado, pero no maneja o maneja incorrectamente un campo de longitud que no es consistente con la longitud real de los datos asociados, causando que la aplicación en la estación de supervisión se reinicie
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026
Suscribirse a Vulnerabilidades