Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en plugin Ad Short para WordPress (CVE-2026-4067)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Ad Short para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo 'client' del shortcode 'ad' en todas las versiones hasta la 2.0.1 inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en el atributo 'client' del shortcode. El gestor de shortcode ad_func() en la línea 71 acepta un atributo 'client' a través de shortcode_atts() y lo concatena directamente en un atributo HTML entre comillas dobles (data-ad-client) en la línea 130 sin aplicar esc_attr() ni ninguna otra sanitización. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Alfie – Feed Plugin para WordPress (CVE-2026-4069)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Alfie – Feed Plugin para WordPress es vulnerable a Stored Cross-Site Scripting a través del parámetro 'naam' en todas las versiones hasta la 1.2.1, inclusive. Esto se debe a la falta de validación de nonce en la función alfie_option_page() combinada con una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos que se almacenarán en la base de datos del plugin y se ejecutarán cada vez que un usuario acceda a la página que muestra los datos inyectados, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin WordPress PayPal Donation para WordPress (CVE-2026-4072)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin WordPress PayPal Donation para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode 'donate' en todas las versiones hasta la 1.01, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en los atributos de shortcode proporcionados por el usuario, como 'amount', 'email', 'title', 'return_url', 'cancel_url', 'ccode' e 'image'. La función wordpress_paypal_donation_create() utiliza extract(shortcode_atts(...)) para procesar los atributos del shortcode y luego interpola directamente estos valores en la salida HTML dentro de valores de atributos entre comillas simples sin ningún escape. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Ecover Builder For Dummies para WordPress (CVE-2026-4077)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Ecover Builder For Dummies para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro 'id' del shortcode 'ecover' en todas las versiones hasta la 1.0 inclusive. Esto se debe a una sanitización de entrada insuficiente y un escape de salida inadecuado en el atributo 'id' del shortcode proporcionado por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin fyyd podcast shortcodes para WordPress (CVE-2026-4084)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin de shortcodes fyyd podcast para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los shortcodes 'fyyd-podcast', 'fyyd-episode' y 'fyyd' en todas las versiones hasta la 0.3.1, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en atributos de shortcode proporcionados por el usuario, como 'color', 'podcast_id' y 'podcast_slug'. Estos atributos se concatenan directamente en JavaScript en línea dentro de argumentos de cadena entre comillas simples sin ningún escape o sanitización, lo que permite a un atacante salir del contexto de cadena de JavaScript. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Task Manager para WordPress (CVE-2026-4004)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Task Manager para WordPress es vulnerable a la ejecución arbitraria de shortcodes a través de la acción AJAX 'search' en todas las versiones hasta la 3.0.2, inclusive. Esto se debe a la falta de comprobaciones de capacidad en la función callback_search() y a una validación de entrada insuficiente que permite que la sintaxis de shortcode (corchetes) pase a través de sanitize_text_field() y se concatene en una llamada a do_shortcode(). Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, ejecuten shortcodes arbitrarios en el sitio inyectando sintaxis de shortcode en parámetros como 'task_id', 'point_id', 'categories_id' o 'term'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Show Posts list para WordPress (CVE-2026-4022)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Show Posts list – Easy designs, filters and more para WordPress es vulnerable a cross-site scripting almacenado a través del atributo de shortcode 'post_type' en el shortcode 'swiftpost-list' en todas las versiones hasta la 1.1.0, inclusive, debido a una sanitización de entrada y escape de salida insuficientes en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Text Toggle para WordPress (CVE-2026-3997)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Text Toggle para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo 'title' del shortcode de los shortcodes [tt_part] y [tt] en todas las versiones hasta la 1.1 inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en los atributos de shortcode proporcionados por el usuario. Específicamente, en la función avp_texttoggle_part_shortcode(), el atributo 'title' se extrae de los atributos del shortcode y se concatena directamente en la salida HTML sin ningún escape — tanto dentro de un contexto de atributo HTML (title="...") en la línea 116 como en el contenido HTML en la línea 119. Mientras que el atributo 'class' se valida correctamente usando ctype_alnum(), el atributo 'title' no tiene ninguna sanitización en absoluto. Un atacante puede inyectar caracteres de comillas dobles para salir del atributo title e inyectar atributos HTML arbitrarios, incluidos los controladores de eventos. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin WP Games Embed para WordPress (CVE-2026-3996)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin WP Games Embed para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode [game] en todas las versiones hasta la 0.1beta inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en los atributos del shortcode proporcionados por el usuario, como 'width', 'height', 'src', 'title', 'description', 'game_url', 'main' y 'thumb', los cuales son todos concatenados directamente en la salida HTML sin ningún escape. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Build App Online para WordPress (CVE-2026-3651)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Build App Online para WordPress es vulnerable a acceso no autorizado en todas las versiones hasta la 1.0.23, inclusive. Esto se debe a que el plugin registra la acción AJAX 'build-app-online-update-vendor-product' a través de wp_ajax_nopriv_ sin las comprobaciones de autenticación adecuadas, verificación de capacidades o validación de nonce en la función update_vendor_product(). La función acepta un ID de publicación proporcionado por el usuario de la solicitud y llama a wp_update_post() para modificar el campo post_author sin validar si el usuario tiene permiso para modificar la publicación especificada. Esto hace posible que atacantes no autenticados modifiquen el post_author de publicaciones arbitrarias a 0 (dejando las publicaciones huérfanas de sus autores legítimos), o que atacantes autenticados reclamen la propiedad de cualquier publicación al establecerse a sí mismos como el autor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Punnel para WordPress (CVE-2026-3645)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Punnel – Landing Page Builder para WordPress es vulnerable a la falta de autorización en todas las versiones hasta la 1.3.1, inclusive. La función save_config(), que maneja la acción AJAX 'punnel_save_config', carece de cualquier verificación de capacidad (current_user_can()) y verificación de nonce. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, sobrescriban la configuración completa del plugin, incluyendo la clave API, a través de una solicitud POST a admin-ajax.php. Una vez que la clave API es conocida (porque el atacante la configuró), el atacante puede usar el endpoint API público del plugin (sniff_requests() en /?punnel_api=1) — que solo valida las solicitudes comparando un token POST con la api_key almacenada — para crear, actualizar o eliminar publicaciones, páginas y productos arbitrarios en el sitio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Appmax para WordPress (CVE-2026-3641)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Appmax para WordPress es vulnerable a la Validación de Entrada Inadecuada en todas las versiones hasta la 1.0.3, inclusive. Esto se debe a que el plugin registra un endpoint de webhook de API REST público en /webhook-system sin implementar validación de firma de webhook, verificación de secreto, o cualquier mecanismo para autenticar que las solicitudes de webhook entrantes provengan genuinamente del servicio de pago legítimo de Appmax. El plugin procesa directamente entrada no confiable controlada por el atacante de los parámetros 'event' y 'data' sin verificar la autenticidad del webhook. Esto hace posible que atacantes no autenticados elaboren cargas útiles de webhook maliciosas que pueden modificar el estado de pedidos existentes de WooCommerce (por ejemplo, cambiándolos a en procesamiento, reembolsado, cancelado o pendiente), crear pedidos de WooCommerce completamente nuevos con datos arbitrarios, crear nuevos productos de WooCommerce con nombres/descripciones/precios controlados por el atacante, y escribir valores arbitrarios en los metadatos de publicaciones de pedidos suplantando eventos de webhook legítimos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026
Suscribirse a Vulnerabilidades