Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Jirafeau (CVE-2026-1466)
Fecha de publicación:
28/01/2026
Idioma:
Español
Jirafeau normalmente impide la previsualización del navegador para archivos de texto debido a la posibilidad de que, por ejemplo, documentos SVG y HTML pudieran ser explotados para cross-site scripting. Esto se hacía almacenando el tipo MIME de un archivo y permitiendo solo la previsualización del navegador para tipos MIME que comienzan con 'image' (excepto para 'image/svg+xml', ver CVE-2022-30110, CVE-2024-12326 y CVE-2025-7066), video y audio. Sin embargo, era posible eludir esta comprobación enviando una solicitud HTTP manipulada con un tipo MIME inválido como 'image'. Al realizar la previsualización, el navegador intenta detectar automáticamente el tipo MIME, lo que resulta en la detección de SVG y posiblemente la ejecución de código JavaScript. Para evitar esto, el MIME sniffing está deshabilitado enviando la cabecera HTTP X-Content-Type-Options: nosniff.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2026

Vulnerabilidad en Database para Contact Form 7, WPforms, Elementor forms (CVE-2026-0825)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Database para Contact Form 7, WPforms, formularios de Elementor para WordPress es vulnerable a una elusión de autorización debido a la falta de comprobaciones de capacidad en la funcionalidad de exportación CSV en todas las versiones hasta la 1.4.5, ambas inclusive. Esto hace posible que atacantes no autenticados descarguen datos sensibles de envío de formularios que contienen información de identificación personal (PII) al acceder al endpoint de exportación CSV con una clave de exportación que está expuesta en el código fuente de la página accesible públicamente. La vulnerabilidad se crea porque, mientras que el shortcode filtra correctamente las entradas mostradas por usuario, el manejador de exportación CSV elude completamente este filtrado y exporta todas las entradas independientemente de los permisos del usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en New User Approve (CVE-2026-0832)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin New User Approve para WordPress es vulnerable a acceso no autorizado a datos y modificación de datos debido a una comprobación de capacidad faltante en múltiples endpoints de la API REST en todas las versiones hasta la 3.2.2, inclusive. Esto hace posible que atacantes no autenticados aprueben o denieguen cuentas de usuario, recuperen información sensible del usuario, incluyendo correos electrónicos y roles, y fuercen el cierre de sesión de usuarios privilegiados.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Forms Bridge – Infinite integrations (CVE-2026-1244)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Forms Bridge – Infinite integrations para WordPress es vulnerable a cross-site scripting almacenado a través del atributo de shortcode 'id' en el shortcode 'financoop_campaign' en todas las versiones hasta la 4.2.5, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes en el parámetro 'id' proporcionado por el usuario en la función forms_bridge_financoop_shortcode_error. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Stripe Payments por Buy Now Plus (CVE-2026-1295)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Buy Now Plus – Buy Now buttons para Stripe para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode 'buynowplus' en todas las versiones hasta la 1.0.2, inclusive, debido a una sanitización de entrada y escape de salida insuficientes en los atributos del shortcode. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Simple calendar para Elementor (CVE-2026-1310)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Simple calendar para Elementor para WordPress es vulnerable a Falta de Autorización en todas las versiones hasta la 1.6.6, inclusive. Esto se debe a la falta de comprobaciones de capacidad en la función `miga_ajax_editor_cal_delete` que está enganchada a la acción AJAX `miga_editor_cal_delete` con acceso autenticado y no autenticado habilitado. Esto hace posible que atacantes no autenticados eliminen entradas de calendario arbitrarias enviando una solicitud con un nonce válido y el ID de la entrada del calendario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en WPBITS Addons (CVE-2025-9082)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin WPBITS Addons para Elementor para WordPress es vulnerable a cross-site scripting almacenado a través de múltiples parámetros de widget en versiones hasta la 1.8, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes cuando el contenido dinámico está habilitado. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Simple Folio (CVE-2025-14039)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Simple Folio para WordPress es vulnerable a cross-site scripting almacenado a través de los campos meta '_simple_folio_item_client_name' y '_simple_folio_item_link' en todas las versiones hasta la 1.1.1, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Interactions (CVE-2025-12709)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Interactions – Create Interactive Experiences in the Block Editor para WordPress es vulnerable a cross-site scripting almacenado a través de selectores de eventos en todas las versiones hasta la 1.3.1, inclusive, debido a una sanitización de entrada y escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de nivel Colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Appointment Hour Booking – Booking Calendar (CVE-2026-1083)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Appointment Hour Booking – Booking Calendar para WordPress es vulnerable a cross-site scripting almacenado a través de parámetros de configuración de campos de formulario en todas las versiones hasta la 1.5.60, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes en los valores de configuración de campo 'Min length/characters' y 'Max length/characters'. Esto permite a atacantes autenticados, con acceso de nivel de administrador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la interfaz del constructor de formularios. Esto solo afecta a las instalaciones multisitio y a las instalaciones donde se ha deshabilitado unfiltered_html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Easy Replace Image (CVE-2026-1298)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Easy Replace Image para WordPress es vulnerable a la falta de autorización en todas las versiones hasta la 3.5.2, inclusive. Esto se debe a la falta de comprobaciones de capacidad en la función 'image_replacement_from_url' que está enganchada a la acción AJAX 'eri_from_url'. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, reemplacen archivos adjuntos de imagen arbitrarios en el sitio con imágenes de URLs externas, lo que podría permitir la desfiguración del sitio, ataques de phishing o manipulación de contenido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Target Video Easy Publish (CVE-2025-8072)
Fecha de publicación:
28/01/2026
Idioma:
Español
El plugin Target Video Easy Publish para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro 'placeholder_img' en todas las versiones hasta la 3.8.8, inclusive, debido a una sanitización insuficiente de la entrada y un escape de la salida inadecuado. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026
Suscribirse a Vulnerabilidades