Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22210)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz antes de la versión 7.6.47 contiene una vulnerabilidad de cross-site scripting que permite a los atacantes inyectar código malicioso a través de URLs de adjuntos sin escapar en la salida HTML, explotando la clase WpdiscuzHelperUpload. Los atacantes pueden crear registros de adjuntos maliciosos o 'hooks' de filtro para inyectar JavaScript arbitrario en los atributos de las etiquetas img y anchor, ejecutando código en el contexto de los usuarios de WordPress que ven los comentarios.
Gravedad CVSS v4.0: BAJA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22215)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz anterior a la versión 7.6.47 contiene una vulnerabilidad de falsificación de petición en sitios cruzados en la función getFollowsPage() que permite a los atacantes desencadenar acciones no autorizadas sin validación de nonce. Los atacantes pueden elaborar peticiones maliciosas para enumerar relaciones de seguimiento y manipular datos de seguimiento de usuarios explotando la protección CSRF ausente en el gestor de la página de seguimiento.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22216)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz anterior a la versión 7.6.47 contiene una vulnerabilidad de falta de limitación de tasa que permite a atacantes no autenticados suscribir direcciones de correo electrónico arbitrarias a notificaciones de publicaciones enviando solicitudes POST al gestor wpdAddSubscription en class.WpdiscuzHelperAjax.php. Los atacantes pueden explotar caracteres comodín LIKE en la consulta de suscripción para hacer coincidir múltiples direcciones de correo electrónico y generar correos electrónicos de notificación no deseados a cuentas de víctimas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Thingino (CVE-2026-22209)
Fecha de publicación:
13/03/2026
Idioma:
Español
El firmware de Thingino hasta la confirmación e3f6a41 (publicada el 15 de marzo de 2026) contiene una vulnerabilidad de inyección de comandos del sistema operativo sin autenticación en el script CGI del portal cautivo de WiFi, que permite a atacantes remotos ejecutar comandos arbitrarios como root mediante la inyección de código malicioso a través de nombres de parámetros HTTP no validados. Los atacantes pueden aprovechar la función eval en las funciones parse_query() y parse_post() para lograr la ejecución remota de código y realizar cambios de configuración con privilegios, incluyendo el restablecimiento de la contraseña de root y la modificación de authorized_keys de SSH, lo que da lugar a un compromiso total y persistente del dispositivo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22201)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz anterior a la versión 7.6.47 contiene una vulnerabilidad de suplantación de IP en la función getIP() que permite a los atacantes eludir la limitación de velocidad basada en IP y la aplicación de prohibiciones al confiar en encabezados HTTP no confiables. Los atacantes pueden establecer los encabezados HTTP_CLIENT_IP o HTTP_X_FORWARDED_FOR para suplantar su dirección IP y eludir los controles de seguridad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22202)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz antes de 7.6.47 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes eliminar todos los comentarios asociados a una dirección de correo electrónico mediante la creación de una petición GET maliciosa con una clave HMAC válida. Los atacantes pueden incrustar la URL de acción deletecomments en etiquetas de imagen u otros recursos para desencadenar la eliminación permanente de comentarios sin confirmación del usuario o protección CSRF basada en POST.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22203)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz anterior a 7.6.47 contiene una vulnerabilidad de revelación de información que permite a los administradores exponer inadvertidamente secretos de OAuth al exportar las opciones del plugin como JSON. Los atacantes pueden obtener archivos exportados que contienen secretos de API en texto plano como fbAppSecret, googleClientSecret, twitterAppSecret y otras credenciales de inicio de sesión social de tickets de soporte, copias de seguridad o repositorios de control de versiones.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22204)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz anterior a la versión 7.6.47 contiene una vulnerabilidad de inyección de encabezado de correo electrónico que permite a los atacantes manipular a los destinatarios del correo inyectando datos maliciosos en la cookie comment_author_email. Los atacantes pueden crear un valor de cookie malicioso que, cuando se procesa a través de urldecode() y se pasa a las funciones wp_mail(), permite la inyección de encabezados para alterar a los destinatarios del correo electrónico o inyectar encabezados adicionales.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22192)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz anterior a la versión 7.6.47 contiene una vulnerabilidad de cross-site scripting almacenada que permite a atacantes autenticados inyectar JavaScript malicioso importando un archivo de opciones manipulado con valores de campo customCss sin escapar. Los atacantes pueden proporcionar un archivo de importación JSON malicioso que contiene cargas útiles de script en el parámetro customCss que se ejecutan en cada página cuando se renderizan a través del gestor de opciones sin una sanitización adecuada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22193)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz antes de 7.6.47 contiene una vulnerabilidad de inyección SQL en la función getAllSubscriptions() donde los parámetros de cadena carecen de un escape de comillas adecuado en las consultas SQL. Los atacantes pueden inyectar código SQL malicioso a través de los parámetros email, activation_key, subscription_date e imported_from para manipular consultas de base de datos y extraer información sensible.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22199)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz antes de 7.6.47 contiene una vulnerabilidad de manipulación de votos que permite a los atacantes manipular los votos de los comentarios al obtener nonces frescos y eludir la limitación de velocidad a través de encabezados controlados por el cliente. Los atacantes pueden variar los encabezados User-Agent para restablecer los límites de velocidad, solicitar nonces desde el endpoint wpdGetNonce no autenticado y votar varias veces utilizando rotación de IP o manipulación de encabezados de proxy inverso.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22191)
Fecha de publicación:
13/03/2026
Idioma:
Español
wpDiscuz anterior a 7.6.47 contiene una vulnerabilidad de inyección de shortcode que permite a los atacantes ejecutar shortcodes arbitrarios incluyéndolos en el contenido de los comentarios enviados a través de notificaciones por correo electrónico. Los atacantes pueden inyectar shortcodes como [contact-form-7] o [user_meta] en los comentarios, los cuales se ejecutan en el servidor cuando la clase WpdiscuzHelperEmail procesa las notificaciones a través de do_shortcode() antes de wp_mail().
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026
Suscribirse a Vulnerabilidades