Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Boletín de seguridad de Android: junio 2026
  • Desbordamiento de búfer en productos Poly Voice de HP

Boletín de seguridad de Android: junio 2026

Fecha02/06/2026
Importancia5 - Crítica
Recursos Afectados
  • Framework y Sistema: 
    • Versiones actualizadas del AOSP: 14, 15, 16, 16-qpr2.
  • Componentes de terceros: Qualcomm.
Descripción

Android ha publicado su boletín mensual de seguridad en el que se incluyen 125 vulnerabilidades: 18 de severidad crítica y 104 de severidad alta. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante una escalada de privilegios remota sin necesidad de privilegios de ejecución adicionales o una denegación de servicio.

Solución

Actualizar a la última versión disponible.

Detalle

Las vulnerabilidades de severidad crítica son las siguientes:

  • Escalada de privilegios:
    • CVE-2025-65018
    • CVE-2026-0043
    • CVE-2026-0097
    • CVE-2026-21352
    • CVE-2026-21353
  • Denegación de servicios:
    • CVE-2025-64720
    • CVE-2025-64505
    • CVE-2026-0039
    • CVE-2026-0040
    • CVE-2026-0041
    • CVE-2026-0042
    • CVE-2026-0044
    • CVE-2026-0051
    • CVE-2026-0052
    • CVE-2026-0080
  • Vulnerabilidades críticas de componentes Qualcomm:
    • CVE-2025-47392
    • CVE-2026-25276
    • CVE-2026-25277

Desbordamiento de búfer en productos Poly Voice de HP

Fecha02/06/2026
Importancia5 - Crítica
Recursos Afectados
  • HP Poly VVX con versiones anteriores a UCS 6.4.8;
  • HP Poly Trio 8300 con versiones anteriores a UCS 8.1.7;
  • HP Poly Trio 8500 con versiones anteriores UCS 7.2.8;
  • HP Poly Trio 8800 con versiones anteriores a UCS 7.2.8.
Descripción

Stephen Fewer, de Rapid7, ha reportado una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante la ejecución remota de código comprometiendo la confidencialidad, integridad y disponibilidad de los sistemas afectados. 

Solución

HP recomienda actualizar los dispositivos afectados a las versiones de firmware corregidas publicadas mediante HP Poly Lens.

Como medida de mitigación adicional, se recomienda deshabilitar la conectividad ICE (Interactive Connectivity Establishment) cuando no sea necesaria.

Detalle

CVE-2026-0826: la vulnerabilidad se debe a un desbordamiento de búfer en determinados dispositivos HP Poly Voice que se ejecutan sobre plataforma Linux. El fallo puede producirse en escenarios donde un administrador haya habilitado la funcionalidad ICE. Un atacante remoto podría explotar esta vulnerabilidad mediante el envío de datos especialmente diseñados para desencadenar el desbordamiento y ejecutar código arbitrario en el dispositivo afectado.