Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-2257
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** Authentication Bypass in Hub Business integration in Devolutions Workspace Desktop 2023.1.1.3 and earlier on Windows and macOS allows an attacker with access to the user interface to unlock a Hub <br /> Business space without being prompted to enter the password via an <br /> unimplemented "Force Login" security feature.<br /> <br /> This vulnerability occurs only if "Force Login" feature is enabled on the Hub Business instance and that an attacker has access to a locked Workspace desktop application configured with a Hub Business space.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2025

CVE-2023-1435
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Ajax Search Pro WordPress plugin before 4.26.2 does not sanitise and escape various parameters before outputting them back in pages, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2025

CVE-2023-1420
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Ajax Search Lite WordPress plugin before 4.11.1, Ajax Search Pro WordPress plugin before 4.26.2 does not sanitise and escape a parameter before outputting it back in a response of an AJAX action, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2025

CVE-2023-1129
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The WP FEvents Book WordPress plugin through 0.46 does not ensures that bookings to be updated belong to the user making the request, allowing any authenticated user to book, add notes, or cancel booking on behalf of other users.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-1126
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The WP FEvents Book WordPress plugin through 0.46 does not sanitise and escape some parameters, which could allow any authenticated users, such as subscriber to perform Cross-Site Scripting attacks
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-1020
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Steveas WP Live Chat Shoutbox WordPress plugin through 1.4.2 does not sanitise and escape a parameter before using it in a SQL statement via an AJAX action available to unauthenticated users, leading to a SQL injection.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/02/2025

CVE-2023-0899
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Steveas WP Live Chat Shoutbox WordPress plugin through 1.4.2 does not sanitise and escape a parameter before outputting it back in the Shoutbox, leading to Stored Cross-Site Scripting which could be used against high privilege users such as admins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-1324
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Easy Forms for Mailchimp WordPress plugin before 6.8.8 does not sanitise and escape some parameters before outputting them back in the response, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-0420
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Custom Post Type and Taxonomy GUI Manager WordPress plugin through 1.1 does not have CSRF, and is lacking sanitising as well as escaping in some parameters, allowing attackers to make a logged in admin put Stored Cross-Site Scripting payloads via CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-0424
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The MS-Reviews WordPress plugin through 1.5 does not sanitise and escape reviews, which could allow users any authenticated users, such as Subscribers to perform Stored Cross-Site Scripting attacks
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-0418
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Video Central for WordPress plugin through 1.3.0 does not validate and escape some of its shortcode attributes before outputting them back in a page/post where the shortcode is embed, which could allow users with the contributor role and above to perform Stored Cross-Site Scripting attacks
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-0388
Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Random Text WordPress plugin through 0.3.0 does not properly sanitize and escape a parameter before using it in a SQL statement, leading to a SQL injection exploitable by any authenticated users, such as subscribers.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2025
Suscribirse a Vulnerabilidades