Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en plugin Sheets2Table para WordPress (CVE-2026-3619)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Sheets2Table para WordPress es vulnerable a cross-site scripting almacenado a través del atributo de shortcode 'titles' en el shortcode [sheets2table-render-table] en todas las versiones hasta la 0.4.1 inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes. Específicamente, el valor del atributo 'titles' del shortcode se pasa a través de S2T_Functions::trim_array_values() (que solo recorta espacios en blanco) y luego se imprime directamente en HTML a través de 'echo $header' dentro de una etiqueta en la función display_table_header() sin ningún escape como esc_html(). Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Sherk Custom Post Type Displays para WordPress is vulnerable to Stored Cross-Site Scripting... (CVE-2026-3554)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Sherk Custom Post Type Displays para WordPress es vulnerable a cross-site scripting almacenado a través del atributo 'title' del shortcode en todas las versiones hasta la 1.2.1, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en el atributo 'title' del shortcode 'sherkcptdisplays'. Específicamente, en la función sherkcptdisplays_func() en includes/SherkCPTDisplaysShortcode.php, el valor del atributo 'title' se extrae de shortcode_atts() en la línea 19 y se concatena directamente en una etiqueta HTML en la línea 31 sin ningún escape. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin WP-Chatbot for Messenger para WordPress (CVE-2026-3506)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin WP-Chatbot para Messenger para WordPress es vulnerable a una omisión de autorización en todas las versiones hasta la 4.9, inclusive. Esto se debe a que el plugin no verifica correctamente que un usuario está autorizado para realizar una acción. Esto hace posible que atacantes no autenticados sobrescriban el token de la API de MobileMonkey del sitio y las opciones de ID de empresa, lo que puede usarse para secuestrar la configuración del chatbot y redirigir las conversaciones de los visitantes a una cuenta de MobileMonkey controlada por un atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en e-shot de forfront (CVE-2026-3546)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin e-shot form builder para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta la 1.0.2, inclusive. La función eshot_form_builder_get_account_data() está registrada como un gestor AJAX wp_ajax_ accesible para todos los usuarios autenticados. La función carece de cualquier verificación de capacidad (p. ej., current_user_can('manage_options')) y no verifica un nonce. Consulta directamente la base de datos para el token de la API de e-shot almacenado en la tabla eshotformbuilder_control y lo devuelve junto con todos los datos de la subcuenta como una respuesta JSON. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, extraigan el token de la API de e-shot y la información de la subcuenta, lo que podría usarse para acceder a la cuenta de la plataforma e-shot de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Content Syndication Toolkit para WordPress (CVE-2026-3478)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Content Syndication Toolkit para WordPress es vulnerable a falsificación de petición del lado del servidor en todas las versiones hasta la 1.3, inclusive, a través de la acción AJAX redux_p en la biblioteca ReduxFramework incluida. El plugin registra un endpoint de proxy (wp_ajax_nopriv_redux_p) que es accesible para usuarios no autenticados. El método proxy() en la clase Redux_P toma una URL directamente de $_GET['url'] sin ninguna validación (la expresión regular está configurada como /.*/, que coincide con todas las URL) y la pasa a wp_remote_request(), que no tiene protección SSRF incorporada como wp_safe_remote_request(). No hay verificación de autenticación, ninguna verificación de nonce y ninguna restricción de URL. La respuesta de la URL solicitada es luego devuelta al atacante, lo que convierte esto en una SSRF de lectura completa. Esto hace posible que atacantes no autenticados realicen peticiones web a ubicaciones arbitrarias originadas desde la aplicación web, lo que puede usarse para consultar y modificar información de servicios internos, escanear puertos de red internos o interactuar con endpoints de metadatos en la nube.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en plugin REST API TO MiniProgram para WordPress (CVE-2026-3460)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin REST API TO MiniProgram para WordPress es vulnerable a la Referencia Directa Insegura a Objetos en todas las versiones hasta la 5.1.2, inclusive. Esto se debe a que la función de devolución de llamada de permisos (update_user_wechatshop_info_permissions_check) solo valida que el parámetro 'openid' proporcionado corresponde a un usuario de WordPress existente, mientras que la función de devolución de llamada (update_user_wechatshop_info) utiliza un parámetro 'userid' separado y controlado por el atacante para determinar qué metadatos de usuario se modifican, sin verificar que 'openid' y 'userid' pertenezcan al mismo usuario. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, modifiquen metadatos relacionados con la tienda de usuarios arbitrarios (storeinfo, storeappid, storename) a través del parámetro 'userid' de la API REST.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Wikilookup para WordPress (CVE-2026-3354)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Wikilookup para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración 'Popup Width' en todas las versiones hasta la 1.1.5, inclusive. Esto se debe a una sanitización de entrada insuficiente y un escape de salida deficiente. Esto permite que atacantes autenticados, con acceso de nivel de Administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multisitio y a instalaciones donde unfiltered_html ha sido deshabilitado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Multi Functional Flexi Lightbox para WordPress (CVE-2026-3347)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Multi Functional Flexi Lightbox para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro `arv_lb[message]` en todas las versiones hasta la 1.2, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto se debe a que la función de callback de sanitización `arv_lb_options_val()` devuelve la entrada del usuario sin ninguna sanitización, y el valor `message` almacenado se muestra en la función `genLB()` sin escape. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página o entrada con el lightbox habilitado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Comment SPAM Wiper para WordPress (CVE-2026-3353)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Comment Correo no deseado Wiper para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración 'API Key' en todas las versiones hasta la 1.2.1, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de Administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multisitio e instalaciones donde se ha deshabilitado unfiltered_html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin MinhNhut Link Gateway para WordPress (CVE-2026-3333)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin MinhNhut Link Gateway para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode 'linkgate' del plugin en todas las versiones hasta la 3.6.1, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel Colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin CMS Commander para WordPress (CVE-2026-3334)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin CMS Commander para WordPress es vulnerable a inyección SQL a través de los parámetros 'or_blogname', 'or_blogdescription' y 'or_admin_email' en todas las versiones hasta la 2.288, inclusive. Esto se debe a un escape insuficiente en los parámetros proporcionados por el usuario y a la falta de preparación suficiente en las consultas SQL existentes en el flujo de trabajo de restauración. Esto hace posible que atacantes autenticados, con acceso a la clave API de CMS Commander, añadan consultas SQL adicionales a consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en Canto para WordPress (CVE-2026-3335)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Canto para WordPress presenta una vulnerabilidad de falta de autorización en todas las versiones hasta la 3.1.1, incluida esta, a través del archivo `/wp-content/plugins/canto/includes/lib/copy-media.php`. Esto se debe a que se puede acceder directamente al archivo sin comprobaciones de autenticación, autorización o nonce, y a que los componentes de URL `fbc_flight_domain` y `fbc_app_api` se aceptan como parámetros POST proporcionados por el usuario en lugar de leerse desde las opciones configuradas por el administrador. Dado que el atacante controla tanto el servidor de destino como el valor `fbc_app_token`, toda la cadena de obtención y carga queda bajo su control: el servidor nunca se pone en contacto con la API legítima de Canto, y el archivo cargado procede íntegramente de la infraestructura del atacante. Esto permite a atacantes no autenticados cargar archivos arbitrarios (limitados a los tipos MIME permitidos por WordPress) en el directorio de cargas de WordPress. También se puede acceder directamente a otros puntos finales (`detail.php`, `download.php`, `get.php`, `tree.php`) sin necesidad de autenticación, y estos realizan solicitudes utilizando un parámetro `app_api` proporcionado por el usuario combinado con un subdominio configurado por el administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026
Suscribirse a Vulnerabilidades