Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo Sensor.cpp en la función flattenString8 en Android. (CVE-2020-0007)

Fecha de publicación:
08/01/2020
Idioma:
Español
En la función flattenString8 del archivo Sensor.cpp, hay una posible divulgación de información de la memoria de la pila debido a datos no inicializados. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-141890807.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en la función LowEnergyClient::MtuChangedCallback en Android. (CVE-2020-0008)

Fecha de publicación:
08/01/2020
Idioma:
Español
En la función LowEnergyClient::MtuChangedCallback del archivo low_energy_client.cc, hay una posible lectura fuera de límites debido a una condición de carrera. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-142558228.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en la función getProcessRecordLocked en Android. (CVE-2020-0001)

Fecha de publicación:
08/01/2020
Idioma:
Español
En la función getProcessRecordLocked del archivo ActivityManagerService.java, las aplicaciones aisladas no son manejadas correctamente. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-140055304.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en la función ih264d_init_decoder en Android. (CVE-2020-0002)

Fecha de publicación:
08/01/2020
Idioma:
Español
En la función ih264d_init_decoder del archivo ih264d_api.c, hay una posible escritura fuera de límites debido a un uso de la memoria previamente liberada. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-142602711.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en un JavaScript en Symantec Norton Mobile Security para Android (CVE-2016-6585)

Fecha de publicación:
08/01/2020
Idioma:
Español
Existe una vulnerabilidad de denegación de servicio en Symantec Norton Mobile Security para Android versiones anteriores a la versión 3.16, lo que podría permitir a un usuario malicioso remoto conducir un ataque de tipo man-in-the-middle por medio de un JavaScript especialmente diseñado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2020

Vulnerabilidad en el Google Pixel/Pixel SL Qualcomm Avtimer Driver (CVE-2016-5346)

Fecha de publicación:
08/01/2020
Idioma:
Español
Existe una vulnerabilidad de divulgación de información en el Google Pixel/Pixel SL Qualcomm Avtimer Driver debido a una desreferencia del puntero NULL al procesar una llamada de sistema de aceptación para el proceso del usuario en los sockets AF_MSM_IPC, lo que podría permitir a un usuario malicioso local obtener información confidencial (ID de Bug de Android A -32551280).
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2020

Vulnerabilidad en la página de inicio de sesión del administrador PHPGurukul Small CRM (CVE-2020-5511)

Fecha de publicación:
08/01/2020
Idioma:
Español
PHPGurukul Small CRM versión v2.0, se encontró vulnerable a la omisión de autenticación por medio de una inyección SQL cuando se registran en la página de inicio de sesión del administrador.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/03/2023

Vulnerabilidad en el envío una cadena hacia la aplicación FTPGetter Professional (CVE-2020-5183)

Fecha de publicación:
08/01/2020
Idioma:
Español
FTPGetter Professional versión 5.97.0.223, es vulnerable a un bug de corrupción de memoria cuando un usuario envía una cadena especialmente diseñada hacia la aplicación. Este bug de corrupción de memoria posiblemente puede ser clasificado como una desreferencia del puntero NULL.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo full-profile.php en el parámetro id PHPGurukul Hostel Management System (CVE-2020-5510)

Fecha de publicación:
08/01/2020
Idioma:
Español
PHPGurukul Hostel Management System versión v2.0, permite una inyección SQL por medio del parámetro id en el archivo full-profile.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/11/2023

Vulnerabilidad en configuración del módem en la interfaz web en el Technicolor TC7230 STEB. (CVE-2019-19495)

Fecha de publicación:
08/01/2020
Idioma:
Español
La interfaz web en el Technicolor TC7230 STEB versión 01.25 es vulnerable a una nueva vinculación DNS, lo que permite que un atacante remoto configure el módem mediante cable por medio de JavaScript en el navegador de la víctima. El atacante puede entonces configurar el módem mediante cable para reenviar el puerto del servidor TELNET interno del módem, permitiendo el acceso externo a un shell root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/01/2020

Vulnerabilidad en el archivo mid.dat almacenado en la tarjeta SD en Symantec Norton Mobile Security para Android (CVE-2016-6587)

Fecha de publicación:
08/01/2020
Idioma:
Español
Existe una vulnerabilidad de Divulgación de Información en el archivo mid.dat almacenado en la tarjeta SD en Symantec Norton Mobile Security para Android versiones anteriores a la versión 3.16, lo que podría permitir a un usuario malicioso local obtener información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2020

Vulnerabilidad en el binario uxdqmsrv como setuid root en CA Automic Dollar Universe. (CVE-2019-19544)

Fecha de publicación:
08/01/2020
Idioma:
Español
CA Automic Dollar Universe versión 5.3.3, contiene una vulnerabilidad, relacionada con el binario uxdqmsrv como setuid root, lo que permite a atacantes locales elevar privilegios. Esta vulnerabilidad se reportó en CA varios años después de que CA Automic Dollar Universe versión 5.3.3 alcanzó el estatus End of Life (EOL) el 1 de abril de 2015.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2020