Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una acción AJAX jupiterx_conditional_manager en el archivo includes/condition/class-condition-manager.php en el plugin JupiterX Core (CVE-2022-1659)
Fecha de publicación:
13/06/2022
Idioma:
Español
Las versiones vulnerables del plugin JupiterX Core (versiones anteriores a 2.0.6 incluyéndola) registran una acción AJAX jupiterx_conditional_manager que puede ser usada para llamar a cualquier función en el archivo includes/condition/class-condition-manager.php mediante el envío de la función deseada a llamar en el parámetro sub_action. Esto puede usarse para visualizar la configuración del sitio y los usuarios registrados, modificar las condiciones de publicación o llevar a cabo un ataque de denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
21/06/2022

Vulnerabilidad en los parámetros id en el plugin Mitsol Social Post Feed para WordPress (CVE-2022-0209)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin de WordPress Mitsol Social Post Feed antes de la versión 1.11 no escapa de algunas de sus configuraciones antes de devolverlas en atributos, lo que podría permitir a los usuarios con altos privilegios, como los administradores, realizar ataques de Cross-Site Scripting incluso cuando la capacidad unfiltered_html está deshabilitada
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2025

Vulnerabilidad en la función createplugin_atf_admin_setting_page() en el archivo ~/inc/config/create-plugin-config.php en el plugin WPMK Ajax Finder de WordPress (CVE-2022-1749)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin WPMK Ajax Finder de WordPress es vulnerable a un ataque de tipo Cross-Site Request Forgery por medio de la función createplugin_atf_admin_setting_page() que se encuentra en el archivo ~/inc/config/create-plugin-config.php debido a una comprobación de nonce faltante que permite a atacantes inyectar scripts web arbitrarios, en versiones hasta la 1.0.1 incluyéndola
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2026

Vulnerabilidad en el parámetro "gtm4wp-options[scroller-contentid]" en el archivo "~/public/frontend.php" en el plugin Google Tag Manager para WordPress (GTM4WP) (CVE-2022-1961)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Google Tag Manager para WordPress (GTM4WP) es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a un escape insuficiente por medio del parámetro "gtm4wp-options[scroller-contentid]" que es encontrado en el archivo "~/public/frontend.php" y que permite a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 1.15.1 incluyéndola. Esto afecta a las instalaciones multisitio en las que unfiltered_html está deshabilitado para los administradores, y a los sitios en los que unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en el parámetro " popup_title" en el plugin Sticky Popup para WordPress (CVE-2022-1750)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Sticky Popup para WordPress es vulnerable a un ataque e tipo Cross-Site Scripting Almacenado por medio del parámetro " popup_title" en versiones hasta la 1.2 incluyéndola, debido a una saneo insuficiente de la entrada y escape de la salida. Esto hace posible que atacantes autenticados, con capacidades de nivel de administrador y superiores, inyecten scripts web arbitrarios en las páginas que serán ejecutadas cada vez que un usuario acceda a una página inyectada. Este problema afecta sobre todo a los sitios en los que ha sido deshabilitado unfiltered_html para los administradores y en las instalaciones multisitio en las que ha sido deshabilitado unfiltered_html para los administradores
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en el parámetro "t" en el plugin Keep Backup Daily para WordPress (CVE-2022-1820)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Keep Backup Daily para WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Reflejado por medio del parámetro "t" en las versiones hasta la 2.0.2 incluyéndola, debido a un saneo insuficiente de la entrada y escape de la salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en las páginas que son ejecutadas si consiguen engañar a un usuario para que lleve a cabo una acción como hacer clic en un enlace
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en la función admin_update_data() en el plugin Mobile browser color select para WordPress (CVE-2022-1969)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Mobile browser color select para WordPress es vulnerable a un ataque de tipo Cross-Site Request Forgery en versiones hasta la 1.0.1 incluyéndola. Esto es debido a una falta o a una incorrecta comprobación de nonce en la función admin_update_data(). Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos por medio de una petición falsificada que puede llevar a cabo una acción como hacer clic en un enlace
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2026

Vulnerabilidad en el archivo ~/rsvpmaker-email.php en el plugin RSVPMaker para WordPress (CVE-2022-1768)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin RSVPMaker para WordPress es vulnerable a una inyección de SQL sin autenticación debido a un escape y parametrización insuficientes de los datos suministrados por el usuario que son pasados a múltiples consultas SQL en el archivo ~/rsvpmaker-email.php. Esto hace posible que atacantes no autenticados roben información confidencial de la base de datos en versiones hasta la 9.3.2 incluyéndola. Tenga en cuenta que esto es independiente de CVE-2022-1453 y CVE-2022-1505
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2026

Vulnerabilidad en una carga útil en el campo email name en /staff/setup/email-addresses de Helpdeskz (CVE-2022-31400)
Fecha de publicación:
13/06/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en /staff/setup/email-addresses de Helpdeskz versión v2.0.2, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada inyectada en el campo email name
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2022

Vulnerabilidad en el plugin Quick Subscribe de WordPress (CVE-2022-1792)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Quick Subscribe de WordPress versiones hasta 1.7.1, no presenta comprobación de tipo CSRF cuando es actualizada su configuración, lo que podría permitir a atacantes hacer que un administrador conectado la cambie por medio de un ataque de tipo CSRF y conllevando a un ataque de tipo XSS Almacenado debido a una falta de saneo y escape en algunos de ellos
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2022

Vulnerabilidad en el plugin Private Files de WordPress (CVE-2022-1793)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Private Files de WordPress versiones hasta 0.40, no comprueba el CSRF cuando es deshabilitada la protección, lo que podría permitir a atacantes hacer que un administrador conectado lleve a cabo dicha acción por medio de un ataque de tipo CSRF y haga público el blog
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2022

Vulnerabilidad en el parámetro cpt POST en el plugin Export any WordPress data to XML/CSV de WordPress (CVE-2022-1800)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Export any WordPress data to XML/CSV de WordPress versiones anteriores a 1.3.5, no sanea el parámetro cpt POST cuando son exportados los datos de la entrada antes de usarlos en una consulta a la base de datos, conllevando a una vulnerabilidad de inyección SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
20/12/2023
Suscribirse a Vulnerabilidades