Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un formulario con un URI de datos en objeto JSONView en Firefox, Thunderbird y Firefox ESR (CVE-2019-11761)
Fecha de publicación:
08/01/2020
Idioma:
Español
Mediante el uso de un formulario con un URI de datos, fue posible conseguir acceso al objeto JSONView privilegiado que había sido clonado en contenido. El impacto de exponer este objeto parece ser mínimo, sin embargo, fue una omisión de los mecanismos de defensa existentes en profundidad. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2023

Vulnerabilidad en document.domain en DOM methods/getters/setters en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11762)
Fecha de publicación:
08/01/2020
Idioma:
Español
Si dos documentos del mismo origen configuran a document.domain de manera diferente para convertirse en origen cruzado, es posible llamar arbitrariamente a DOM methods/getters/setters en la ventana ahora de origen cruzado. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2023

Vulnerabilidad en los bytes nulos en procesamiento de entidades HTML en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11763)
Fecha de publicación:
08/01/2020
Idioma:
Español
Si no se manejan correctamente los bytes nulos cuando se procesan entidades HTML, Firefox analiza de manera incorrecta estas entidades. Esto podría haber conllevado a que el texto de comentario HTML fuese tratado como un HTML, lo que podría haber provocado una vulnerabilidad de tipo XSS en una aplicación web bajo determinadas condiciones. También podría haber conllevado a que las entidades HTML sean enmascaradas desde los filtros, permitiendo el uso de entidades para enmascarar los caracteres actuales de interés de los filtros. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2023

Vulnerabilidad en la función onCreate en Android. (CVE-2020-0003)
Fecha de publicación:
08/01/2020
Idioma:
Español
En la función onCreate del archivo InstallStart.java, hay una posible omisión de comprobación de paquete debido a una vulnerabilidad de tiempo de uso y tiempo de comprobación. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, ID de Android: A-140195904.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2022

Vulnerabilidad en el archivo WallpaperManagerService.java en la función generateCrop en Android (CVE-2020-0004)
Fecha de publicación:
08/01/2020
Idioma:
Español
En la función generateCrop del archivo WallpaperManagerService.java, hay un posible bloqueo de sysui debido a que la imagen excede el tamaño máximo de textura. Esto podría conllevar a una denegación de servicio local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID: A-120847476.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en la función rw_i93_send_cmd_write_single_block en Android. (CVE-2020-0006)
Fecha de publicación:
08/01/2020
Idioma:
Español
En la función rw_i93_send_cmd_write_single_block del archivo rw_i93.cc, hay una posible divulgación de información de la memoria de la pila debido a datos no inicializados. Esto podría conllevar a una divulgación de información remota en el servidor NFC sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-139738828.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en el archivo Sensor.cpp en la función flattenString8 en Android. (CVE-2020-0007)
Fecha de publicación:
08/01/2020
Idioma:
Español
En la función flattenString8 del archivo Sensor.cpp, hay una posible divulgación de información de la memoria de la pila debido a datos no inicializados. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-141890807.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en la función LowEnergyClient::MtuChangedCallback en Android. (CVE-2020-0008)
Fecha de publicación:
08/01/2020
Idioma:
Español
En la función LowEnergyClient::MtuChangedCallback del archivo low_energy_client.cc, hay una posible lectura fuera de límites debido a una condición de carrera. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-142558228.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en la función getProcessRecordLocked en Android. (CVE-2020-0001)
Fecha de publicación:
08/01/2020
Idioma:
Español
En la función getProcessRecordLocked del archivo ActivityManagerService.java, las aplicaciones aisladas no son manejadas correctamente. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-140055304.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la función ih264d_init_decoder en Android. (CVE-2020-0002)
Fecha de publicación:
08/01/2020
Idioma:
Español
En la función ih264d_init_decoder del archivo ih264d_api.c, hay una posible escritura fuera de límites debido a un uso de la memoria previamente liberada. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-142602711.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en el Google Pixel/Pixel SL Qualcomm Avtimer Driver (CVE-2016-5346)
Fecha de publicación:
08/01/2020
Idioma:
Español
Existe una vulnerabilidad de divulgación de información en el Google Pixel/Pixel SL Qualcomm Avtimer Driver debido a una desreferencia del puntero NULL al procesar una llamada de sistema de aceptación para el proceso del usuario en los sockets AF_MSM_IPC, lo que podría permitir a un usuario malicioso local obtener información confidencial (ID de Bug de Android A -32551280).
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2020

Vulnerabilidad en un JavaScript en Symantec Norton Mobile Security para Android (CVE-2016-6585)
Fecha de publicación:
08/01/2020
Idioma:
Español
Existe una vulnerabilidad de denegación de servicio en Symantec Norton Mobile Security para Android versiones anteriores a la versión 3.16, lo que podría permitir a un usuario malicioso remoto conducir un ataque de tipo man-in-the-middle por medio de un JavaScript especialmente diseñado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2020
Suscribirse a Vulnerabilidades