Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo AppZygote.java en la función stopZygoteLocked en Android (CVE-2020-0258)

Fecha de publicación:
11/08/2020
Idioma:
Español
En la función stopZygoteLocked del archivo AppZygote.java, existe una limpieza insuficiente. Esto podría conllevar a una divulgación de información local en la aplicación que es iniciada a continuación sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-157598956
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en el archivo dm-android-verity.c en la función android_verity_ctr en Android (CVE-2020-0259)

Fecha de publicación:
11/08/2020
Idioma:
Español
En la función android_verity_ctr del archivo dm-android-verity.c, existe una manera posible de modificar un sistema de archivos protegido por dm-verity debido a un uso incorrecto de crypto. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Kernel de Android, ID de Android: A-157941353. Referencias: N/A
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en las URL en el componente VirtualRouter de TIBCO Silver Fabric de TIBCO Software Inc (CVE-2019-17339)

Fecha de publicación:
11/08/2020
Idioma:
Español
El componente VirtualRouter de TIBCO Silver Fabric de TIBCO Software Inc. contiene una vulnerabilidad que teóricamente permite a un atacante inyectar scripts por medio de las URL. Teóricamente, el atacante podría diseñar socialmente a un usuario autenticado para que envíe la URL, ejecutando así el script en el sistema afectado con los privilegios del usuario. Las versiones afectadas son TIBCO Silver Fabric de TIBCO Software Inc.: versiones 6.0.0 y anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en el archivo ServiceRecord.java en la función postNotification en Android (CVE-2020-0108)

Fecha de publicación:
11/08/2020
Idioma:
Español
En la función postNotification del archivo ServiceRecord.java, se presenta una posible omisión de las restricciones del proceso en primer plano debido a una excepción no detectada. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-8.1 Android-9, ID de Android: A-140108616
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en la función updatePreferenceIntents de AccountTypePreferenceLoader en Android (CVE-2020-0238)

Fecha de publicación:
11/08/2020
Idioma:
Español
En la función updatePreferenceIntents de AccountTypePreferenceLoader, se presenta un posible ataque de tipo confused deputy debido a una condición de carrera. Esto podría conllevar a una escalada local de privilegios y al inicio de actividades privilegiadas sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.1 Android-9 Android-10 Android-8.0, ID de Android: A-150946634
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en almacenamiento de las contraseñas en la estación de trabajo de PACTware (CVE-2020-9403)

Fecha de publicación:
11/08/2020
Idioma:
Español
En PACTware versiones anteriores a 4.1 SP6 y versiones 5.x anteriores a 5.0.5.31, las contraseñas son almacenadas en un formato recuperable y pueden ser recuperadas por cualquier usuario con acceso a la estación de trabajo de PACTware
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/08/2020

Vulnerabilidad en el valor de autenticación de una clave creada con CreateWrapKey en un valor de "migrationAuth" inicializado en la biblioteca go-tpm TPM1.2 de Google (CVE-2020-8918)

Fecha de publicación:
11/08/2020
Idioma:
Español
Un valor de "migrationAuth" inicializado inapropiadamente en la biblioteca go-tpm TPM1.2 de Google versiones anteriores a 0.3.0, puede conllevar a un atacante que espía a detectar el valor de autenticación de una clave creada con CreateWrapKey. Un atacante que escucha en el canal puede recopilar "encUsageAuth" y "encMigrationAuth", y luego puede calcular "useAuth ^ encMigrationAuth" ya que se puede adivinar "migrationAuth" para todas las claves creadas con CreateWrapKey. TPM2.0 no está afectado por esto. Recomendamos actualizar su biblioteca a la versión 0.3.0 o posterior o, si no puede actualizar, llamar a CreateWrapKey con un valor aleatorio de 20 bytes para "migrationAuth"
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2020

Vulnerabilidad en almacenamiento de las contraseñas en PACTware (CVE-2020-9404)

Fecha de publicación:
11/08/2020
Idioma:
Español
En PACTware versiones anteriores a 4.1 SP6 y versiones 5.x anteriores a 5.0.5.31, las contraseñas son almacenadas de manera no segura y pueden ser modificadas por parte de un atacante sin conocimiento de las contraseñas actuales
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2020

Vulnerabilidad en la firma de un determinado archivo cifrado en diversos dispositivos de HUAWEI (CVE-2020-9244)

Fecha de publicación:
11/08/2020
Idioma:
Español
Versiones de HUAWEI Mate 20 Versiones anteriores a 10.1.0.160(C00E160R3P8); versiones de HUAWEI Mate 20 Pro Versiones anteriores a 10.1.0.270(C431E7R1P5), Versiones anteriores a 10.1.0.270(C635E3R1P5), Versiones anteriores a 10.1.0.273(C636E7R2WE); versiones de Mate 20 X Versiones anteriores a 10.1.0.160(C00E160R2P8); versiones de HUAWEI P30 Versiones anteriores a 10.1.0.160(C00E160R2P11); versiones de HUAWEI P30 Pro Versiones anteriores a 10.1.0.160(C00E160R2P8); versiones de HUAWEI Mate 20 RS Versiones anteriores a 10.1 .0.160(C786E160R3P8); versiones de HonorMagic2 Versiones anteriores a 10.0.0.187(C00E61R2P11); versiones de Honor20 Versiones anteriores a 10.0.0.175(C00E58R4P11); versiones de Honor20 PRO Versiones anteriores a 10.0.0.194(C00E62R8P12); versiones de HonorMagic2 10.0.0.187(C00E61R2P11); versiones de HonorV20 Versiones anteriores a 10.0.0.188(C00E62R2P11), presentan una vulnerabilidad de autenticación inapropiada. El sistema no firma adecuadamente determinado archivo cifrado, el atacante debe conseguir la clave usada para cifrar el archivo, una explotación con éxito podría causar que cierto archivo sea falsificado
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en la creación de una URL especial en Apache Wicket (CVE-2020-11976)

Fecha de publicación:
11/08/2020
Idioma:
Español
Al crear una URL especial, es posible hacer que Wicket entregue plantillas HTML no procesadas. Esto permitiría a un atacante visualizar información posiblemente confidencial dentro de una plantilla HTML que es comúnmente eliminada durante la renderización. Están afectadas las versiones 7.16.0, 8.8.0 y 9.0.0-M5 de Apache Wicket
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en el procedimiento inicio de sesión único en los mensajes de Broker Protocol en Teradici PCoIP Standard Agent para Windows y Graphics Agent para Windows (CVE-2020-13179)

Fecha de publicación:
11/08/2020
Idioma:
Español
Los mensajes de Broker Protocol en Teradici PCoIP Standard Agent para Windows y Graphics Agent para Windows versiones anteriores a la 20.04.1, no son limpiados en la memoria del servidor, lo que puede permitir a un atacante leer información confidencial de un volcado de memoria forzando un bloqueo durante el procedimiento inicio de sesión único
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en fields['name'] en appendSubheading en el archivo content/content.blueprintsevents.php en Symphony CMS (CVE-2020-15071)

Fecha de publicación:
11/08/2020
Idioma:
Español
El archivo content/content.blueprintsevents.php en Symphony CMS versión 3.0.0, permite un ataque de tipo XSS por medio de fields['name'] en appendSubheading
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026