Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el proceso de emparejamiento con un dispositivo Bluetooth en Android (CVE-2019-2225)
Fecha de publicación:
06/12/2019
Idioma:
Español
Cuando se empareja con un dispositivo Bluetooth, es posible emparejar un dispositivo malicioso sin ninguna confirmación de usuario, y ese dispositivo puede interactuar con el teléfono. Esto podría conllevar a una escalada de privilegios remota sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0 Android-8.1 Android-9 Android-10, ID de Android: A-110433804
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2019

Vulnerabilidad en el archivo btif_av.cc en la función DeepCopy en Bluetooth en Android (CVE-2019-2227)
Fecha de publicación:
06/12/2019
Idioma:
Español
En la función DeepCopy del archivo btif_av.cc, se presenta una posible lectura fuera de límites debido a una conversión inapropiada. Esto podría conllevar a una divulgación de información remota por medio de Bluetooth sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-9 Android-10, ID de Android: A-140768453
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2019

Vulnerabilidad en el archivo NativeNfcManager.cpp en las funciones nfcManager_routeAid y nfcManager_unrouteAid en Android (CVE-2019-2230)
Fecha de publicación:
06/12/2019
Idioma:
Español
En las funciones nfcManager_routeAid y nfcManager_unrouteAid del archivo NativeNfcManager.cpp, se presenta una posible reutilización de la memoria debido a un uso de la memoria previamente liberada. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-141170038
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2019

Vulnerabilidad en el archivo array.c en la función array_find en la cola de impresión en Android (CVE-2019-2228)
Fecha de publicación:
06/12/2019
Idioma:
Español
En la función array_find del archivo array.c, se presenta una posible lectura fuera de límites debido a una comprobación de límites incorrecta. Esto podría conllevar a una divulgación de información local en la cola de impresión sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0 Android-8.1 Android-9 Android-10, ID de Android: A-111210196
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/12/2019

Vulnerabilidad en el archivo GpuStats.cpp en la función setCpuVulkanInUse en Android (CVE-2019-2217)
Fecha de publicación:
06/12/2019
Idioma:
Español
En la función setCpuVulkanInUse del archivo GpuStats.cpp, se presenta una posible corrupción de la memoria debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-141003796
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en un RangeError en la función eval en safer-eval (CVE-2019-10769)
Fecha de publicación:
06/12/2019
Idioma:
Español
safer-eval es un paquete npm para ejecutar en sandbox la evaluación del código utilizado dentro de la función eval. Las versiones afectadas de este paquete son vulnerables a una Ejecución de Código Arbitrario mediante la generación de un RangeError.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/07/2021

Vulnerabilidad en En createSessionInternal de PackageInstallerService.java (CVE-2019-2218)
Fecha de publicación:
06/12/2019
Idioma:
Español
En createSessionInternal de PackageInstallerService.java, existe una posible concesión de permiso incorrecta debido a una falta de verificación de permiso. Esto podría conducir a la escalada local de privilegios al instalar paquetes maliciosos con los privilegios de ejecución de usuario necesarios. La interacción del usuario no es necesaria para la explotación. Producto: Versiones de Android: Android-8.0, Android-8.1, Android-9 y Android-10 ID de Android: A-141169173
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en la interfaz de usuario del sistema en Android (CVE-2019-2219)
Fecha de publicación:
06/12/2019
Idioma:
Español
En varias funciones de NotificationManagerService.java y archivos relacionados, existe una posible forma de grabar audio desde el fondo sin notificar al usuario debido a un bypass de permisos. Esto podría llevar a una escalada local de privilegios con necesidad de privilegios de ejecución de usuario. La interacción del usuario no es necesaria para la explotación.Producto: AndroidVersiones: Android-11Android ID: A-119041698
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2021

Vulnerabilidad en enlace simbólico en un archivo en Dell Command Configure (CVE-2019-18575)
Fecha de publicación:
06/12/2019
Idioma:
Español
Dell Command Configure versiones anteriores a 4.2.1, contienen una vulnerabilidad de ruta de búsqueda no controlada. Un usuario malicioso autenticado localmente podría explotar esta vulnerabilidad mediante la creación de un enlace simbólico en un archivo de destino, permitiendo al atacante sobrescribir o corromper un archivo específico sobre el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2020

Vulnerabilidad en las credenciales de client_secret en el nivel de registro DEBUG en Cloud Foundry UAA Release (CVE-2019-11293)
Fecha de publicación:
06/12/2019
Idioma:
Español
Cloud Foundry UAA Release, versiones anteriores a v74.10.0, cuando se establece el nivel de registro DEBUG, registra las credenciales de client_secret cuando se envían como un parámetro de consulta. Un usuario malicioso autenticado remoto podría conseguir acceso a las credenciales de usuario por medio del archivo uaa.log si la autenticación es proporcionada por medio de parámetros de consulta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2019

Vulnerabilidad en los encabezados de una respuesta HTTP en Armeria (CVE-2019-16771)
Fecha de publicación:
06/12/2019
Idioma:
Español
Las versiones 0.85.0 hasta la 0.96.0 incluyéndola de Armeria, son vulnerables a una división de la respuesta HTTP, lo que permite a atacantes remotos inyectar encabezados HTTP arbitrarios por medio de secuencias CRLF cuando datos no saneados son usados para llenar los encabezados de una respuesta HTTP. Esta vulnerabilidad ha sido parcheada en la versión 0.97.0. Impactos potenciales de esta vulnerabilidad incluyen la desfiguración de usuarios cruzados, el envenenamiento de la caché, un ataque de tipo Cross-site scripting (XSS) y el secuestro de páginas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2019

Vulnerabilidad en datos de Credenciales Confidenciales en los dispositivos Weidmueller IE-SW-VL05M, IE-SW-VL08MT e IE-SW-PL10M (CVE-2019-16672)
Fecha de publicación:
06/12/2019
Idioma:
Español
Se detectó un problema en los dispositivos Weidmueller IE-SW-VL05M versión 3.6.6 Build 16102415, IE-SW-VL08MT versión 3.5.2 Build 16102415 e IE-SW-PL10M versión 3.3.16 Build 16102416. Los datos de Credenciales Confidenciales son transmitidos en texto sin cifrar.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/04/2022
Suscribirse a Vulnerabilidades