Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-14792
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Key Figures plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the kf_field_figure_default_color_render function in all versions up to, and including, 1.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level access, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

CVE-2025-14796
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** The My Album Gallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via image titles in all versions up to, and including, 1.0.4. This is due to insufficient input sanitization and output escaping on the 'attachment->title' attribute. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

CVE-2025-14802
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** The LearnPress – WordPress LMS Plugin for WordPress is vulnerable to unauthorized file deletion in versions up to, and including, 4.3.2.2 via the /wp-json/lp/v1/material/{file_id} REST API endpoint. This is due to a parameter mismatch between the DELETE operation and authorization check, where the endpoint uses file_id from the URL path but the permission callback validates item_id from the request body. This makes it possible for authenticated attackers, with teacher-level access, to delete arbitrary lesson material files uploaded by other teachers via sending a DELETE request with their own item_id (to pass authorization) while targeting another teacher's file_id.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

CVE-2025-14804
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Frontend File Manager Plugin WordPress plugin before 23.5 did not validate a path parameter and ownership of the file, allowing any authenticated users, such as subscribers to delete arbitrary files on the server
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2026

CVE-2025-14835
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** The WP Photo Album Plus plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the ‘shortcode’ parameter in all versions up to, and including, 9.1.05.008 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2026

CVE-2025-14842
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Drag and Drop Multiple File Upload – Contact Form 7 plugin for WordPress is vulnerable to limited upload of files with a dangerous type in all versions up to, and including, 1.3.9.2. This is due to the plugin not blocking .phar and .svg files. This makes it possible for unauthenticated attackers to upload arbitrary .phar or .svg files containing malicious PHP or JavaScript code. Malicious PHP code can be used to achieve remote code execution on the server via direct file access, if the server is configured to execute .phar files as PHP. The upload of .svg files allows for Stored Cross-Site Scripting under certain circumstances.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

Vulnerabilidad en plugin Relevanssi para WordPress (CVE-2025-14719)
Fecha de publicación:
07/01/2026
Idioma:
Español
El plugin de WordPress Relevanssi anterior a 4.26.0, el plugin de WordPress Relevanssi Premium anterior a 2.29.0 no sanitizan ni escapan un parámetro antes de usarlo en una sentencia SQL, permitiendo que roles de colaborador y superiores realicen ataques de inyección SQL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

Vulnerabilidad en Archer BE400 de TP-Link (CVE-2025-14631)
Fecha de publicación:
07/01/2026
Idioma:
Español
Una vulnerabilidad de desreferencia de puntero NULL en TP-Link Archer BE400 V1 (módulos 802.11) permite a un atacante adyacente causar una denegación de servicio (DoS) al desencadenar un reinicio del dispositivo.<br /> <br /> Este problema afecta a Archer BE400: xi 1.1.0 Build 20250710 rel.14914.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en Sticky Action Buttons de praveentamil (CVE-2025-14465)
Fecha de publicación:
07/01/2026
Idioma:
Español
El plugin Sticky Action Buttons para WordPress es vulnerable a la falsificación de petición en sitios cruzados en todas las versiones hasta e incluyendo la 1.1. Esto se debe a la validación de nonce faltante o incorrecta en la función sabs_options_page_form_submit(). Esto hace posible que atacantes no autenticados actualicen la configuración del plugin a través de una petición falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

Vulnerabilidad en AMP for WP – Accelerated Mobile Pages de mohammed_kaludi (CVE-2025-14468)
Fecha de publicación:
07/01/2026
Idioma:
Español
El plugin AMP for WP – Accelerated Mobile Pages para WordPress es vulnerable a la falsificación de petición en sitios cruzados en versiones hasta la 1.1.9, inclusive. Esto se debe a una lógica de verificación de nonce invertida en el manejador AJAX amp_theme_ajaxcomments, que rechaza las peticiones con nonces VÁLIDOS y acepta las peticiones con nonces FALTANTES o INVÁLIDOS. Esto permite a atacantes no autenticados enviar comentarios en nombre de usuarios con sesión iniciada a través de una petición falsificada, siempre que puedan engañar a un usuario para que realice una acción como hacer clic en un enlace, y el modo de plantilla del plugin esté habilitado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

Vulnerabilidad en Quartus® Prime Standard and Quartus® Prime Lite Security Advisory (CVE-2025-14614)
Fecha de publicación:
07/01/2026
Idioma:
Español
Vulnerabilidad de archivo temporal inseguro en el Instalador (SFX) de Altera Quartus Prime Standard en Windows, el Instalador (SFX) de Altera Quartus Prime Lite en Windows permite la exploración de nombres de archivos temporales predecibles. Este problema afecta a Quartus Prime Standard: desde 23.1 hasta 24.1; Quartus Prime Lite: desde 23.1 hasta 24.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en Quartus Prime Standard y Quartus Prime Lite de Altera (CVE-2025-14625)
Fecha de publicación:
07/01/2026
Idioma:
Español
Vulnerabilidad de elemento de ruta de búsqueda no controlado en Altera Quartus Prime Standard en Windows (módulos Nios II Command Shell), Altera Quartus Prime Lite en Windows (módulos Nios II Command Shell) permite el secuestro del orden de búsqueda. Este problema afecta a Quartus Prime Standard: desde 19.1 hasta 24.1; Quartus Prime Lite: desde 19.1 hasta 24.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/01/2026
Suscribirse a Vulnerabilidades