Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo ComposeActivityEmailExternal.java (CVE-2019-2124)
Fecha de publicación:
05/09/2019
Idioma:
Español
En la función ComposeActivityEmailExternal del archivo ComposeActivityEmailExternal.java en Android versiones 7.1.1, 7.1.2, 8.0, 8.1 y 9, existe una manera posible de adjuntar archivos a un correo electrónico silenciosamente debido a un problema de tipo confused deputy. Esto podría conllevar a una divulgación de información local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo SensorManager.cpp (CVE-2019-2174)
Fecha de publicación:
05/09/2019
Idioma:
Español
En la función SensorManager::ClaimStateLocked del archivo SensorManager.cpp en Android versiones 7.1.1, 7.1.2, 8.0, 8.1 y 9, se presenta un posible uso de la memoria previamente liberada debido a un bloqueo inapropiado. Esto podría conllevar a una escalada local de privilegios sin necesitar privilegios de ejecución adicionales. No es necesaria una interacción del usuario para su explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el archivo ihevcd_ref_list.c en la función (CVE-2019-2108)
Fecha de publicación:
05/09/2019
Idioma:
Español
En la función ihevcd_ref_list del archivo ihevcd_ref_list.c en Android versión 10, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a la ejecución de código remota sin necesitar privilegios de ejecución adicionales. Es necesaria una interacción del usuario para su explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/09/2019

Vulnerabilidad en FLAG_SECURE en el Asistente de Google en Android. (CVE-2019-2103)
Fecha de publicación:
05/09/2019
Idioma:
Español
En el Asistente de Google en Android versión 9, se presenta una posible omisión de permisos que le permite al Asistente tomar una captura de la pantalla de aplicaciones con FLAG_SECURE. Esto podría conllevar a la divulgación de información local sin necesitar privilegios de ejecución adicionales. No es necesaria una interacción del usuario para su explotación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2019

Vulnerabilidad en múltiples componentes en las aplicaciones de Alfresco Software (CVE-2019-14224)
Fecha de publicación:
05/09/2019
Idioma:
Español
Se descubrió un problema en Alfresco Community Edition versión 5.2 201707. Mediante el aprovechamiento de múltiples componentes en las aplicaciones de Alfresco Software, se observó una cadena de explotaciones que permite a un atacante lograr la ejecución de código remota en la máquina víctima. El atacante necesita cargar archivos de configuración de Solr maliciosos y entonces recibir una conexión JMX de la víctima y servir un objeto Java lo que resulta en la deserialización y ejecución de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en el archivo Binder.java en la función execTransact en Android (CVE-2019-2123)
Fecha de publicación:
05/09/2019
Idioma:
Español
En la función execTransact del archivo Binder.java en Android versiones 7.1.1, 7.1.2, 8.0, 8.1 y 9, se presenta una posible ejecución local de código arbitrario en un proceso privilegiado debido a una sobrescritura de memoria. Esto podría conllevar a una escalada local de privilegios sin necesitar privilegios de ejecución adicionales. No es necesaria una interacción del usuario para su explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en FusionPBX (CVE-2019-15029)
Fecha de publicación:
05/09/2019
Idioma:
Español
FusionPBX versión 4.4.8 permite a un atacante ejecutar comandos arbitrarios del sistema al enviar un comando malicioso al archivo service_edit.php (que insertará el comando malicioso en la base de datos). Para activar el comando, es necesario llamar al archivo services.php mediante una petición GET con el ID del servicio seguido del parámetro a=start para ejecutar el comando almacenado.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2020

Vulnerabilidad en ES File Explorer File Manager para Android (CVE-2019-11380)
Fecha de publicación:
05/09/2019
Idioma:
Español
La función master-password en la aplicación ES File Explorer File Manager versión 4.2.0.1.3 para Android se puede omitir mediante un intent com.estrongs.android.pop.ftp.ESFtpShortcut, lo que lleva al acceso FTP remoto a la totalidad del almacenamiento local.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en ContentProvider en Canon PRINT (CVE-2019-14339)
Fecha de publicación:
05/09/2019
Idioma:
Español
ContentProvider en la aplicación Canon PRINT jp.co.canon.bsd.ad.pixmaprint versión 2.5.5 para Android no restringe correctamente el acceso a los datos de canon.ij.printer.capability.data. Esto permite que la aplicación maliciosa de un atacante obtenga información confidencial, incluidas las contraseñas de fábrica para la interfaz web del administrador y la clave WPA2-PSK.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en JetBrains TeamCity (CVE-2019-15848)
Fecha de publicación:
05/09/2019
Idioma:
Español
JetBrains TeamCity 2019.1 y 2019.1.1 permite Cross-Site Scripting (XSS), lo que posiblemente permite enviar una petición HTTP arbitraria a un servidor TeamCity con el nombre del usuario actualmente registrado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2019

Vulnerabilidad en eclipse-wtp, eclipse-cdt y eclipse-groovy (CVE-2019-10753)
Fecha de publicación:
05/09/2019
Idioma:
Español
En todas las versiones anteriores a la versión 3.9.6 para eclipse-wtp, todas las versiones anteriores a la versión 9.4.4 para eclipse-cdt, y todas las versiones anteriores a la versión 3.0.1 para eclipse-groovy, Spotless estaba resolviendo dependencias sobre un canal inseguro (http). Si la compilación se produjo a través de una conexión insegura, un usuario malintencionado podría haber realizado un ataque Man-in-the-Middle durante la compilación y alterar los artefactos de compilación que se produjeron. En caso de que alguno de estos artefactos se vea comprometido, cualquier desarrollador que los use podría ser alterado. **Nota:** Para validar que este artefacto no se vio comprometido, el mantenedor necesitaría confirmar que ninguno de los artefactos publicados en el registro no fue alterado. Hasta que esto suceda, no podemos garantizar que este artefacto no se vea comprometido a pesar de que la probabilidad de que esto ocurra es baja.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2019

Vulnerabilidad en Counter-Strike (CVE-2019-15944)
Fecha de publicación:
05/09/2019
Idioma:
Español
En Counter-Strike: Global Offensive antes del 8/29/2019, los servidores de juegos comunitarios pueden mostrar HTML inseguro en un mensaje de desconexión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2019
Suscribirse a Vulnerabilidades