Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo TextLine.java en la función handleRun en Unicode en Android (CVE-2019-2232)

Fecha de publicación:
06/12/2019
Idioma:
Español
En la función handleRun del archivo TextLine.java, se presenta un posible bloqueo de la aplicación debido a una comprobación de entrada inapropiada. Esto podría conllevar a una denegación de servicio remota cuando se procesa Unicode sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0 Android-8.1 Android-9 Android-10, ID de Android: A-140632678
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en un RangeError en la función eval en safer-eval (CVE-2019-10769)

Fecha de publicación:
06/12/2019
Idioma:
Español
safer-eval es un paquete npm para ejecutar en sandbox la evaluación del código utilizado dentro de la función eval. Las versiones afectadas de este paquete son vulnerables a una Ejecución de Código Arbitrario mediante la generación de un RangeError.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2026

Vulnerabilidad en el archivo GpuStats.cpp en la función setCpuVulkanInUse en Android (CVE-2019-2217)

Fecha de publicación:
06/12/2019
Idioma:
Español
En la función setCpuVulkanInUse del archivo GpuStats.cpp, se presenta una posible corrupción de la memoria debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-141003796
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en En createSessionInternal de PackageInstallerService.java (CVE-2019-2218)

Fecha de publicación:
06/12/2019
Idioma:
Español
En createSessionInternal de PackageInstallerService.java, existe una posible concesión de permiso incorrecta debido a una falta de verificación de permiso. Esto podría conducir a la escalada local de privilegios al instalar paquetes maliciosos con los privilegios de ejecución de usuario necesarios. La interacción del usuario no es necesaria para la explotación. Producto: Versiones de Android: Android-8.0, Android-8.1, Android-9 y Android-10 ID de Android: A-141169173
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en la interfaz de usuario del sistema en Android (CVE-2019-2219)

Fecha de publicación:
06/12/2019
Idioma:
Español
En varias funciones de NotificationManagerService.java y archivos relacionados, existe una posible forma de grabar audio desde el fondo sin notificar al usuario debido a un bypass de permisos. Esto podría llevar a una escalada local de privilegios con necesidad de privilegios de ejecución de usuario. La interacción del usuario no es necesaria para la explotación.Producto: AndroidVersiones: Android-11Android ID: A-119041698
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en enlace simbólico en un archivo en Dell Command Configure (CVE-2019-18575)

Fecha de publicación:
06/12/2019
Idioma:
Español
Dell Command Configure versiones anteriores a 4.2.1, contienen una vulnerabilidad de ruta de búsqueda no controlada. Un usuario malicioso autenticado localmente podría explotar esta vulnerabilidad mediante la creación de un enlace simbólico en un archivo de destino, permitiendo al atacante sobrescribir o corromper un archivo específico sobre el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en las credenciales de client_secret en el nivel de registro DEBUG en Cloud Foundry UAA Release (CVE-2019-11293)

Fecha de publicación:
06/12/2019
Idioma:
Español
Cloud Foundry UAA Release, versiones anteriores a v74.10.0, cuando se establece el nivel de registro DEBUG, registra las credenciales de client_secret cuando se envían como un parámetro de consulta. Un usuario malicioso autenticado remoto podría conseguir acceso a las credenciales de usuario por medio del archivo uaa.log si la autenticación es proporcionada por medio de parámetros de consulta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en los encabezados de una respuesta HTTP en Armeria (CVE-2019-16771)

Fecha de publicación:
06/12/2019
Idioma:
Español
Las versiones 0.85.0 hasta la 0.96.0 incluyéndola de Armeria, son vulnerables a una división de la respuesta HTTP, lo que permite a atacantes remotos inyectar encabezados HTTP arbitrarios por medio de secuencias CRLF cuando datos no saneados son usados para llenar los encabezados de una respuesta HTTP. Esta vulnerabilidad ha sido parcheada en la versión 0.97.0. Impactos potenciales de esta vulnerabilidad incluyen la desfiguración de usuarios cruzados, el envenenamiento de la caché, un ataque de tipo Cross-site scripting (XSS) y el secuestro de páginas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en ShapeShift KeepKey (CVE-2019-18671)

Fecha de publicación:
06/12/2019
Idioma:
Español
Las comprobaciones insuficientes en el manejo de paquetes USB de la billetera de hardware ShapeShift KeepKey anteriores a firmware 6.2.2 permiten escrituras fuera de límites en el segmento .bss a través de mensajes especialmente diseñados. La vulnerabilidad podría permitir la ejecución de código u otras formas de impacto. Puede ser activado por atacantes no autenticados y se puede acceder a la interfaz a través de WebUSB.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2026

Vulnerabilidad en los secretos criptográficos en la máquina de estados finitos de la billetera de hardware ShapeShift KeepKey (CVE-2019-18672)

Fecha de publicación:
06/12/2019
Idioma:
Español
Las comprobaciones insuficientes en la máquina de estados finitos de la billetera de hardware ShapeShift KeepKey versiones de firmware anteriores a 6.2.2, permiten un restablecimiento parcial de los secretos criptográficos a valores conocidos por medio de mensajes diseñados. En particular, esto rompe la seguridad de U2F para nuevos registros del servidor e invalida los registros existentes. Esta vulnerabilidad puede ser explotada por atacantes no autenticados y la interfaz es accesible por medio de WebUSB.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en un paquete especial en los dispositivos Weidmueller IE-SW-VL05M, IE-SW-VL08MT e IE-SW-PL10M (CVE-2019-16671)

Fecha de publicación:
06/12/2019
Idioma:
Español
Se detectó un problema en los dispositivos Weidmueller IE-SW-VL05M versión 3.6.6 Build 16102415, IE-SW-VL08MT versión 3.5.2 Build 16102415 e IE-SW-PL10M versión 3.3.16 Build 16102416. Los usuarios autenticados remotos pueden bloquear un dispositivo con un paquete especial debido a un Consumo de Recursos No Controlados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en datos de Credenciales Confidenciales en los dispositivos Weidmueller IE-SW-VL05M, IE-SW-VL08MT e IE-SW-PL10M (CVE-2019-16672)

Fecha de publicación:
06/12/2019
Idioma:
Español
Se detectó un problema en los dispositivos Weidmueller IE-SW-VL05M versión 3.6.6 Build 16102415, IE-SW-VL08MT versión 3.5.2 Build 16102415 e IE-SW-PL10M versión 3.3.16 Build 16102416. Los datos de Credenciales Confidenciales son transmitidos en texto sin cifrar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2026