Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Lead Form Builder & Contact Form de themehunk (CVE-2026-1454)
Fecha de publicación:
11/03/2026
Idioma:
Español
El plugin Responsive Contact Form Builder & Lead Generation Plugin para WordPress es vulnerable a cross-site scripting almacenado en todas las versiones hasta la versión 2.0.1, inclusive, a través de envíos de campos de formulario. Esto se debe a una sanitización de entrada insuficiente en la función lfb_lead_sanitize() que omite ciertos tipos de campo de su lista blanca de sanitización, combinado con un filtro wp_kses() excesivamente permisivo en el momento de la salida que permite atributos onclick en las etiquetas de anclaje. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un administrador vea las entradas de leads en el panel de WordPress.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en modulards (CVE-2026-3903)
Fecha de publicación:
11/03/2026
Idioma:
Español
El plugin Modular DS: Monitor, update, and backup multiple websites para WordPress es vulnerable a la falsificación de petición en sitios cruzados en todas las versiones hasta la 2.5.1, inclusive. Esto se debe a la falta de validación de nonce en la función postConfirmOauth(). Esto hace posible que atacantes no autenticados desconecten la conexión OAuth/SSO del plugin mediante una petición falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Happy Addons for Elementor de thehappymonster (CVE-2026-2917)
Fecha de publicación:
11/03/2026
Idioma:
Español
El plugin Happy Addons for Elementor para WordPress es vulnerable a Referencia Directa Insegura a Objeto en todas las versiones hasta la 3.21.0, inclusive, a través del gestor de acción de administración 'ha_duplicate_thing'. Esto se debe a que el método 'can_clone()' solo verifica 'current_user_can('edit_posts')' (una capacidad general) sin realizar una autorización a nivel de objeto como 'current_user_can('edit_post', $post_id)', y a que el nonce está vinculado al nombre de acción genérico 'ha_duplicate_thing' en lugar de a un ID de publicación específico. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, clonen cualquier publicación, página o tipo de publicación personalizada publicada obteniendo un nonce de clonación válido de sus propias publicaciones y cambiando el parámetro 'post_id' para apuntar al contenido de otros usuarios. La operación de clonación copia el contenido completo de la publicación, todos los metadatos de la publicación (incluidas configuraciones de widgets y tokens de API potencialmente sensibles) y taxonomías en un nuevo borrador propiedad del atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Happy Addons for Elementor de thehappymonster (CVE-2026-2918)
Fecha de publicación:
11/03/2026
Idioma:
Español
El plugin Happy Addons para Elementor para WordPress es vulnerable a Referencia Directa a Objeto Insegura en todas las versiones hasta la 3.21.0, inclusive, a través de la acción AJAX 'ha_condition_update'. Esto se debe a que el método 'validate_reqeust()' usa 'current_user_can('edit_posts', $template_id)' en lugar de 'current_user_can('edit_post', $template_id)' — lo que impide realizar una autorización a nivel de objeto. Además, la acción AJAX 'ha_get_current_condition' carece de una verificación de capacidad. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, modifiquen las condiciones de visualización de cualquier plantilla 'ha_library' publicada. Debido a que el renderizador 'cond_to_html()' genera valores de condición en atributos HTML sin un escape adecuado (usando concatenación de cadenas en lugar de 'esc_attr()'), un atacante puede inyectar atributos de gestor de eventos (por ejemplo, 'onmouseover') que ejecutan JavaScript cuando un administrador ve el panel de Condiciones de Plantilla, lo que resulta en Cross-Site Scripting Almacenado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin de croixhaug (CVE-2026-1708)
Fecha de publicación:
11/03/2026
Idioma:
Español
El plugin Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin para WordPress es vulnerable a inyección SQL ciega en todas las versiones hasta, e incluyendo, la 1.6.9.27. Esto se debe a que el método 'db_where_conditions' en la clase 'TD_DB_Model' no evita que el parámetro 'append_where_sql' se pase a través de los cuerpos de las solicitudes JSON, mientras que solo verifica su presencia en la superglobal '$_REQUEST'. Esto hace posible que atacantes no autenticados añadan comandos SQL arbitrarios a las consultas y extraigan información sensible de la base de datos a través del parámetro 'append_where_sql' en las cargas útiles JSON, siempre que hayan obtenido un 'public_token' válido que se expone inadvertidamente durante el flujo de reserva.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en QNAP Systems Inc. (CVE-2024-14025)
Fecha de publicación:
11/03/2026
Idioma:
Español
Se ha informado de una vulnerabilidad de inyección SQL que afecta a Video Station. Si un atacante obtiene acceso a la red local y también ha obtenido una cuenta de administrador, puede entonces explotar la vulnerabilidad para ejecutar código o comandos no autorizados.<br /> <br /> Ya hemos corregido la vulnerabilidad en la siguiente versión:<br /> Video Station 5.8.2 y posteriores
Gravedad CVSS v4.0: BAJA
Última modificación:
13/03/2026

Vulnerabilidad en QNAP Systems Inc. (CVE-2024-14026)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos ha sido reportada que afecta a varias versiones del sistema operativo QNAP. Si un atacante obtiene acceso a la red local y también ha obtenido una cuenta de usuario, puede entonces explotar la vulnerabilidad para ejecutar comandos arbitrarios.<br /> <br /> Ya hemos corregido la vulnerabilidad en las siguientes versiones:<br /> QTS 5.1.9.2954 build 20241120 y posteriores<br /> QTS 5.2.3.3006 build 20250108 y posteriores<br /> QuTS hero h5.1.9.2954 build 20241120 y posteriores<br /> QuTS hero h5.2.3.3006 build 20250108 y posteriores
Gravedad CVSS v4.0: BAJA
Última modificación:
12/03/2026

Vulnerabilidad en QNAP Systems Inc. (CVE-2024-14024)
Fecha de publicación:
11/03/2026
Idioma:
Español
Se ha reportado una vulnerabilidad de validación de certificado incorrecta que afecta a Video Station. Si un atacante obtiene acceso a la red local y también ha obtenido una cuenta de administrador, puede entonces explotar la vulnerabilidad para comprometer la seguridad del sistema.<br /> <br /> Ya hemos corregido la vulnerabilidad en la siguiente versión:<br /> Video Station 5.8.2 y posteriores
Gravedad CVSS v4.0: BAJA
Última modificación:
13/03/2026

Vulnerabilidad en IFTOP de WellChoose (CVE-2026-3826)
Fecha de publicación:
11/03/2026
Idioma:
Español
IFTOP desarrollado por WellChoose tiene una vulnerabilidad de inclusión local de ficheros, permitiendo a atacantes remotos no autenticados ejecutar código arbitrario en el servidor.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/03/2026

Vulnerabilidad en IFTOP de WellChoose (CVE-2026-3824)
Fecha de publicación:
11/03/2026
Idioma:
Español
IFTOP desarrollado por WellChoose tiene una vulnerabilidad de redirección abierta, permitiendo a atacantes remotos autenticados crear una URL que engaña a los usuarios para que visiten un sitio web malicioso.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en IFTOP de WellChoose (CVE-2026-3825)
Fecha de publicación:
11/03/2026
Idioma:
Español
IFTOP desarrollado por WellChoose tiene una vulnerabilidad de cross-site scripting reflejado, permitiendo a atacantes remotos autenticados ejecutar códigos JavaScript arbitrarios en el navegador del usuario a través de ataques de phishing.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Astra de brainstormforce (CVE-2026-3534)
Fecha de publicación:
11/03/2026
Idioma:
Español
El tema Astra para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los campos de metadatos de publicación &amp;#39;ast-page-background-meta&amp;#39; y &amp;#39;ast-content-background-meta&amp;#39; en todas las versiones hasta la 4.12.3, inclusive. Esto se debe a una sanitización de entrada insuficiente en el registro de metadatos y a una falta de escape de salida en la función &amp;#39;astra_get_responsive_background_obj()&amp;#39; para cuatro subpropiedades de contexto CSS (&amp;#39;background-color&amp;#39;, &amp;#39;background-image&amp;#39;, &amp;#39;overlay-color&amp;#39;, &amp;#39;overlay-gradient&amp;#39;). Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026
Suscribirse a Vulnerabilidades