Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una referencia a una configuración regional en Firefox, Thunderbird y Firefox ESR (CVE-2019-11757)

Fecha de publicación:
08/01/2020
Idioma:
Español
Siguiendo la cadena de prototipos de valor, era posible retener una referencia a una configuración regional, eliminarla y, posteriormente, hacer referencia a ella. Esto resultó en un uso de la memoria previamente liberada y un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2023

Vulnerabilidad en un bug de seguridad de la memoria en Firefox con 360 Total Security instalado. (CVE-2019-11758)

Fecha de publicación:
08/01/2020
Idioma:
Español
Philipp, miembro de la comunidad de Mozilla, reportó un bug de seguridad de la memoria presente en Firefox versión 68 cuando 360 Total Security fue instalado. Este bug mostró evidencia de corrupción de memoria en el motor de accesibilidad y suponemos que con un esfuerzo suficiente podría ser explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 69, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2022

Vulnerabilidad en la salida HMAC en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11759)

Fecha de publicación:
08/01/2020
Idioma:
Español
Un atacante podría haber causado que 4 bytes de salida HMAC se escribieran más allá del final de un búfer almacenado en la pila. Esto podría ser usado por un atacante para ejecutar código arbitrario o, más probablemente, conllevar a un bloqueo. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2023

Vulnerabilidad en nrappkit cuando realiza la señalización de WebRTC en Firefox, Thunderbird y Firefox ESR (CVE-2019-11760)

Fecha de publicación:
08/01/2020
Idioma:
Español
Un búfer de pila de tamaño fijo podría desbordarse en nrappkit cuando realiza la señalización de WebRTC. Esto resultó en un bloqueo explotable potencialmente en algunos casos. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2023

Vulnerabilidad en un formulario con un URI de datos en objeto JSONView en Firefox, Thunderbird y Firefox ESR (CVE-2019-11761)

Fecha de publicación:
08/01/2020
Idioma:
Español
Mediante el uso de un formulario con un URI de datos, fue posible conseguir acceso al objeto JSONView privilegiado que había sido clonado en contenido. El impacto de exponer este objeto parece ser mínimo, sin embargo, fue una omisión de los mecanismos de defensa existentes en profundidad. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2023

Vulnerabilidad en document.domain en DOM methods/getters/setters en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11762)

Fecha de publicación:
08/01/2020
Idioma:
Español
Si dos documentos del mismo origen configuran a document.domain de manera diferente para convertirse en origen cruzado, es posible llamar arbitrariamente a DOM methods/getters/setters en la ventana ahora de origen cruzado. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2023

Vulnerabilidad en los bytes nulos en procesamiento de entidades HTML en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11763)

Fecha de publicación:
08/01/2020
Idioma:
Español
Si no se manejan correctamente los bytes nulos cuando se procesan entidades HTML, Firefox analiza de manera incorrecta estas entidades. Esto podría haber conllevado a que el texto de comentario HTML fuese tratado como un HTML, lo que podría haber provocado una vulnerabilidad de tipo XSS en una aplicación web bajo determinadas condiciones. También podría haber conllevado a que las entidades HTML sean enmascaradas desde los filtros, permitiendo el uso de entidades para enmascarar los caracteres actuales de interés de los filtros. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2023

Vulnerabilidad en cifrado de bloque en una llamada a NSC_EncryptUpdate en Thunderbird, Firefox ESR y Firefox (CVE-2019-11745)

Fecha de publicación:
08/01/2020
Idioma:
Español
Al encriptar con un cifrado de bloque, si se realizó una llamada a NSC_EncryptUpdate con datos más pequeños que el tamaño del bloque, podría producirse una pequeña escritura fuera de límites. Esto podría haber causado una corrupción de la pila y un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2021

Vulnerabilidad en la función onCreate en Android. (CVE-2020-0003)

Fecha de publicación:
08/01/2020
Idioma:
Español
En la función onCreate del archivo InstallStart.java, hay una posible omisión de comprobación de paquete debido a una vulnerabilidad de tiempo de uso y tiempo de comprobación. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, ID de Android: A-140195904.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2022

Vulnerabilidad en el archivo WallpaperManagerService.java en la función generateCrop en Android (CVE-2020-0004)

Fecha de publicación:
08/01/2020
Idioma:
Español
En la función generateCrop del archivo WallpaperManagerService.java, hay un posible bloqueo de sysui debido a que la imagen excede el tamaño máximo de textura. Esto podría conllevar a una denegación de servicio local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID: A-120847476.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en la función rw_i93_send_cmd_write_single_block en Android. (CVE-2020-0006)

Fecha de publicación:
08/01/2020
Idioma:
Español
En la función rw_i93_send_cmd_write_single_block del archivo rw_i93.cc, hay una posible divulgación de información de la memoria de la pila debido a datos no inicializados. Esto podría conllevar a una divulgación de información remota en el servidor NFC sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-139738828.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en el archivo Sensor.cpp en la función flattenString8 en Android. (CVE-2020-0007)

Fecha de publicación:
08/01/2020
Idioma:
Español
En la función flattenString8 del archivo Sensor.cpp, hay una posible divulgación de información de la memoria de la pila debido a datos no inicializados. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-141890807.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022