Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2018-15788
Fecha de publicación:
28/12/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2018-15789
Fecha de publicación:
28/12/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2018-15790
Fecha de publicación:
28/12/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2018-15791
Fecha de publicación:
28/12/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2018-15792
Fecha de publicación:
28/12/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2018-15793
Fecha de publicación:
28/12/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2018-15794
Fecha de publicación:
28/12/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2018-1181
Fecha de publicación:
28/12/2018
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el dispositivo Android Sky Elite 6.0L+ (CVE-2018-15007)
Fecha de publicación:
28/12/2018
Idioma:
Español
El dispositivo Android Sky Elite 6.0L+ con una huella digital SKY/x6069_trx_l601_sky/x6069_trx_l601_sky:6.0/MRA58K/1482897127:user/release-keys contiene una aplicación preinstalada de la plataforma, cuyo paquete se denomina com.fw.upgrade.sysoper (versionCode=238, versionName=2.3.8) con un componente de app de recibidor de transmisiones exportado llamado com.adups.fota.sysoper.WriteCommandReceiver que permite que cualquier app que también esté en el dispositivo proporcione comandos arbitrarios para que sean ejecutados como el usuario del sistema. La app com.fw.upgrade.sysoper no puede ser deshabilitada por el usuario y el ataque puede realizarse por medio de una app con cero permisos. La ejecución de comandos como usuario del sistema puede permitir que una app de terceros grabe en vídeo la pantalla del usuario, restaure de fábrica el dispositivo, obtenga las notificaciones de usuario, lea los registros logcat, inyecte eventos en la interfaz gráfica de usuario, cambie el editor de métodos de entrada (IME) por defecto (como el teclado) por uno contenido en la aplicación atacante que contiene funciones de registro de tecleo, obtenga los mensajes de texto del usuario, y más.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2019

Vulnerabilidad en CVE-2018-15001 (CVE-2018-15001)
Fecha de publicación:
28/12/2018
Idioma:
Español
El dispositivo Android Vivo V7 con una huella digital de vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys contiene una app de plataforma con un nombre de paquete com.vivo.bsptest (versionCode=1, versionName=1.0) que contiene un componente de app de actividad exportado llamado com.vivo.bsptest.BSPTestActivity que permite que cualquier app ubicada en el dispositivo inicie la escritura de los registros logcat, bluetooth y kernel en el almacenamiento externo. Cuando los registros están habilitados, hay una notificación en la barra de estado, por lo que no es completamente transparente para el usuario. El usuario puede cancelar el registro, pero puede rehabilitarse, ya que la app de nombre com.vivo.bsptest no puede deshabilitarse. La escritura de estos registros puede ser iniciada por una app ubicada en el dispositivo, aunque el permiso READ_EXTERNAL_STORAGE es necesario para que una app acceda a los archivos de registro.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2019

Vulnerabilidad en el dispositivo Vivo V7 (CVE-2018-15002)
Fecha de publicación:
28/12/2018
Idioma:
Español
El dispositivo Vivo V7 con una huella digital de vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys permite que cualquier app ubicada en el dispositivo establezca propiedades del sistema como el usuario com.android.phone. La app com.qualcomm.qti.modemtestmode (versionCode=25, versionName=7.1.2) que contiene un servicio exportado llamado com.qualcomm.qti.modemtestmode.MbnTestService permite que cualquier app ubicada en el dispositivo proporcione pares de valores de clave para configurar ciertas propiedades del sistema. Notablemente, las propiedades del sistema con el prefijo persist.* pueden configurarse, lo que sobrevivirá a un reinicio. En el dispositivo Vivo V7, cuando la propiedad persist.sys.input.log está configurada para que tenga un valor "yes", los toques en la pantalla del usuario se escriben en el registro logcat por el InputDispatcher para todas las apps. El registro del sistema logcat puede ser obtenido desde el almacenamiento externo mediante otra vulnerabilidad conocida en el dispositivo. El permiso READ_EXTERNAL_STORAGE es necesario para acceder a los archivos de registro que contienen las coordenadas de toque del usuario. Con algún esfuerzo, las coordenadas de toque del usuario pueden mapearse a pulsaciones de tecla en un teclado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2019

Vulnerabilidad en el dispositivo Coolpad Canvas (CVE-2018-15004)
Fecha de publicación:
28/12/2018
Idioma:
Español
El dispositivo Coolpad Canvas con una huella digital de Coolpad/cp3636a/cp3636a:7.0/NRD90M/093031423:user/release-keys contiene una app de plataforma con un nombre de paquete com.qualcomm.qti.modemtestmode (versionCode=24, versionName=7.0) que contiene un componente de app de servicio exportado llamado com.qualcomm.qti.modemtestmode.MbnTestService que permite que cualquier app del dispositivo establezca ciertas propiedades del sistema como el usuario com.android.phone. Cuando una app establece la propiedad del sistema persist.service.logr.enable con un valor de 1, una app con un nombre de paquete com.yulong.logredirect (versionCode=20160622, versionName=5.25_20160622_01) comenzará a escribir el registro del sistema logcat, el registro del kernel y la captura de tráfico de red tcpdump en el almacenamiento externo. Además, en el dispositivo Coolpad Canvas, la app com.android.phone escribe el número de teléfono de destino y el cuerpo del mensaje de texto para los mensajes de texto salientes. Se puede evitar una notificación al registrar si el registro está habilitado tras el arranque del dispositivo y se deshabilita antes de apagarlo estableciendo las propiedades del sistema mediante la interfaz exportada de la app com.qualcomm.qti.modemtestmode. Cualquier app con el permiso READ_EXTERNAL_STORAGE puede acceder a los archivos de registro.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2019
Suscribirse a Vulnerabilidades