Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Qool CMS (CVE-2013-20005)
Fecha de publicación:
16/03/2026
Idioma:
Español
Qool CMS 2.0 RC2 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes realizar acciones administrativas engañando a usuarios con sesión iniciada para que visiten páginas web maliciosas. Los atacantes pueden falsificar peticiones POST al endpoint /admin/adduser con parámetros como nombre de usuario, contraseña, correo electrónico y nivel para crear cuentas de usuario de nivel root sin el consentimiento del usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en ID Server de Pointsharp (CVE-2026-3999)
Fecha de publicación:
13/03/2026
Idioma:
Español
Un control de acceso roto puede permitir a un usuario autenticado realizar una escalada de privilegios horizontal. La vulnerabilidad solo afecta a configuraciones específicas.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Social Icons Widget & Block – Social Media Icons & Share Buttons de wpzoom (CVE-2026-4063)
Fecha de publicación:
13/03/2026
Idioma:
Español
El plugin Social Icons Widget & Block de WPZOOM para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en el método add_menu_item() enganchado a admin_menu en todas las versiones hasta la 4.5.8, inclusive. Esto se debe a que el método realiza llamadas a wp_insert_post() y update_post_meta() para crear una configuración de compartición sin verificar que el usuario actual tenga capacidades de nivel de administrador. Esto hace posible que atacantes autenticados, con acceso de nivel de Suscriptor y superior, activen la creación de una publicación de configuración de compartición wpzoom publicada con la configuración predeterminada de los botones de compartición, lo que provoca que los botones de compartición social se inyecten automáticamente en todo el contenido de las publicaciones en el frontend a través del filtro the_content.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Clasp de Google (CVE-2026-4092)
Fecha de publicación:
13/03/2026
Idioma:
Español
Salto de ruta en Clasp que afecta a las versiones < 3.2.0 permite a un atacante remoto realizar ejecución remota de código mediante un proyecto malicioso de Google Apps Script que contiene nombres de archivo especialmente manipulados con secuencias de salto de directorio.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Red Hat (CVE-2026-4105)
Fecha de publicación:
13/03/2026
Idioma:
Español
Se encontró un defecto en systemd. El servicio systemd-machined contiene una vulnerabilidad de control de acceso impropio debido a la validación insuficiente del parámetro class en el método RegisterMachine de D-Bus (Desktop Bus). Un usuario local sin privilegios puede explotar esto al intentar registrar una máquina con un valor de clase específico, lo que puede dejar un objeto de máquina utilizable y controlado por el atacante. Esto permite al atacante invocar métodos en el objeto privilegiado, lo que lleva a la ejecución de comandos arbitrarios con privilegios de root en el sistema anfitrión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Red Hat (CVE-2026-4111)
Fecha de publicación:
13/03/2026
Idioma:
Español
Se identificó una vulnerabilidad en la lógica de descompresión de archivos RAR5 de la biblioteca libarchive, específicamente dentro de la ruta de procesamiento de archive_read_data(). Cuando se procesa un archivo RAR5 especialmente manipulado, la rutina de descompresión puede entrar en un estado en el que la lógica interna impide el avance. Esta condición resulta en un bucle infinito que consume continuamente recursos de CPU. Debido a que el archivo pasa la validación de suma de verificación y parece estructuralmente válido, las aplicaciones afectadas no pueden detectar el problema antes del procesamiento. Esto puede permitir a los atacantes causar condiciones persistentes de denegación de servicio en servicios que procesan archivos automáticamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/04/2026

Vulnerabilidad en Calculated Fields Form de codepeople (CVE-2026-3986)
Fecha de publicación:
13/03/2026
Idioma:
Español
El plugin Calculated Fields Form para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración del formulario en todas las versiones hasta la 5.4.5.0, inclusive. Esto se debe a comprobaciones de capacidad insuficientes en el gestor de guardado de la configuración del formulario y a una sanitización de entrada insuficiente del campo 'fcontent' en los tipos de campo 'fhtml'. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Chrome (CVE-2026-3910)
Fecha de publicación:
13/03/2026
Idioma:
Español
Implementación inapropiada en V8 en Google Chrome anterior a 146.0.7680.75 permitió a un atacante remoto ejecutar código arbitrario dentro de una sandbox a través de una página HTML diseñada específicamente. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en Chrome (CVE-2026-3909)
Fecha de publicación:
13/03/2026
Idioma:
Español
Escritura fuera de límites en Skia en Google Chrome anterior a 146.0.7680.75 permitió a un atacante remoto realizar acceso a memoria fuera de límites a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin de croixhaug (CVE-2026-3045)
Fecha de publicación:
13/03/2026
Idioma:
Español
El plugin Appointment Booking Calendar — Simply Schedule Appointments para WordPress es vulnerable al acceso no autorizado de datos sensibles en todas las versiones hasta la 1.6.9.29 inclusive. Esto se debe a dos debilidades combinadas: (1) un `public_nonce` no vinculado al usuario se expone a usuarios no autenticados a través del endpoint REST público `/wp-json/ssa/v1/embed-inner`, y (2) el método `get_item()` en `SSA_Settings_Api` se basa en `nonce_permissions_check()` para la autorización (que acepta el nonce público) pero no llama a `remove_unauthorized_settings_for_current_user()` para filtrar campos restringidos. Esto hace posible que atacantes no autenticados accedan a configuraciones del plugin solo para administradores, incluyendo el correo electrónico del administrador, número de teléfono, tokens de acceso internos, configuraciones de notificación y configuraciones de desarrollador a través del endpoint `/wp-json/ssa/v1/settings/{section}`. La exposición de los tokens de citas también permite a un atacante modificar o cancelar citas.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Avantra de syslink software AG (CVE-2026-3873)
Fecha de publicación:
13/03/2026
Idioma:
Español
Vulnerabilidad de uso de credenciales codificadas en Avantra permite acceder a funcionalidades no restringidas adecuadamente por ACLs. Este problema afecta a Avantra: versiones anteriores a la 25.3.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Pix for WooCommerce de linknacional (CVE-2026-3891)
Fecha de publicación:
13/03/2026
Idioma:
Español
El plugin Pix for WooCommerce para WordPress es vulnerable a la carga arbitraria de archivos debido a la falta de verificación de capacidades y la falta de validación del tipo de archivo en la función 'lkn_pix_for_woocommerce_c6_save_settings' en todas las versiones hasta la 1.5.0, inclusive. Esto permite a atacantes no autenticados cargar archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2026
Suscribirse a Vulnerabilidades