Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en shisuh Related Posts Line-up-Exactly by Milliard (CVE-2025-26545)
Fecha de publicación:
13/02/2025
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en shisuh Related Posts Line-up-Exactly by Milliard permite XSS almacenado. Este problema afecta a Publicaciones relacionadas Line-up-Exactly de Milliard: desde n/a hasta 0.0.22.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en nagarjunsonti My Login Logout Plugin (CVE-2025-26547)
Fecha de publicación:
13/02/2025
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en nagarjunsonti My Login Logout Plugin permite XSS almacenado. Este problema afecta al complemento My Login Logout desde n/a hasta la versión 2.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en pa1 WP Html Page Sitemap (CVE-2025-26549)
Fecha de publicación:
13/02/2025
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en pa1 WP Html Page Sitemap permite XSS almacenado. Este problema afecta a WP Html Page Sitemap: desde n/a hasta 2.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Kunal Shivale Global Meta Keyword & Description (CVE-2025-26550)
Fecha de publicación:
13/02/2025
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Kunal Shivale Global Meta Keyword & Description permite XSS almacenado. Este problema afecta a Global Meta Keyword & Description: desde n/a hasta 2.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Prezi Embedder de Dan Rossiter (CVE-2025-26538)
Fecha de publicación:
13/02/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Prezi Embedder de Dan Rossiter que permite XSS almacenado. Este problema afecta a Prezi Embedder: desde n/a hasta 2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en petkivim Embed Google Map (CVE-2025-26539)
Fecha de publicación:
13/02/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en petkivim Embed Google Map permite XSS almacenado. Este problema afecta a Embed Google Map: desde n/a hasta 3.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en Pukhraj Suthar Simple Responsive Menu (CVE-2025-26543)
Fecha de publicación:
13/02/2025
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Pukhraj Suthar Simple Responsive Menu permite XSS almacenado. Este problema afecta a Simple Responsive Menu: desde n/a hasta 2.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en Quarkus REST (CVE-2025-1247)
Fecha de publicación:
13/02/2025
Idioma:
Español
Se encontró una falla en Quarkus REST que permite que los parámetros de solicitud se filtren entre solicitudes concurrentes si los endpoints usan la inyección de campos sin un alcance CDI. Esta vulnerabilidad permite a los atacantes manipular los datos de la solicitud, hacerse pasar por usuarios o acceder a información confidencial.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/03/2025

Vulnerabilidad en h6web de Anapi Group (CVE-2025-1270)
Fecha de publicación:
13/02/2025
Idioma:
Español
La vulnerabilidad de referencia directa a objetos insegura (IDOR) en h6web de Anapi Group permite a un atacante autenticado acceder a la información de otros usuarios mediante una solicitud POST y modificando el parámetro “pkrelated” en el endpoint “/h6web/ha_datos_hermano.php” para hacer referencia a otro usuario. Además, la primera solicitud también podría permitir al atacante hacerse pasar por otros usuarios. Como resultado, todas las solicitudes realizadas después de la explotación de la vulnerabilidad IDOR se ejecutarán con los privilegios del usuario suplantado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/02/2025

Vulnerabilidad en h6web de Anapi Group (CVE-2025-1271)
Fecha de publicación:
13/02/2025
Idioma:
Español
Cross-Site Scripting (XSS) Reflejado en h6web de Anapi Group. Esta falla de seguridad podría permitir a un atacante inyectar código JavaScript malicioso en una URL. Cuando un usuario accede a esa URL, el código inyectado se ejecuta en su navegador, lo que puede provocar el robo de información confidencial, robo de identidad o la ejecución de acciones no autorizadas por parte del usuario afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en libpq de PostgreSQL (CVE-2025-1094)
Fecha de publicación:
13/02/2025
Idioma:
Español
La neutralización incorrecta de la sintaxis de comillas en las funciones libpq de PostgreSQL PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() y PQescapeStringConn() permite que un proveedor de entrada de base de datos logre una inyección SQL en ciertos patrones de uso. Específicamente, la inyección SQL requiere que la aplicación use el resultado de la función para construir la entrada a psql, la terminal interactiva de PostgreSQL. De manera similar, la neutralización incorrecta de la sintaxis de comillas en los programas de utilidad de línea de comandos de PostgreSQL permite que una fuente de argumentos de línea de comandos logre una inyección SQL cuando client_encoding es BIG5 y server_encoding es uno de EUC_TW o MULE_INTERNAL. Las versiones anteriores a PostgreSQL 17.3, 16.7, 15.11, 14.16 y 13.19 se ven afectadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/02/2025

Vulnerabilidad en WP Directorybox Manager para WordPress (CVE-2024-13182)
Fecha de publicación:
13/02/2025
Idioma:
Español
El complemento WP Directorybox Manager para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta la 2.5 incluida. Esto se debe a una autenticación incorrecta en la función 'wp_dp_parse_request'. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/02/2025
Suscribirse a Vulnerabilidades