Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WeGIA (CVE-2025-24020)
Fecha de publicación:
21/01/2025
Idioma:
Español
WeGIA es un gestor web para instituciones benéficas. Se ha identificado una vulnerabilidad de Open Redirect en el `control.php` endpoint de las versiones hasta incluida 3.2.10 de la aplicación WeGIA. La vulnerabilidad permite manipular el parámetro `nextPage`, redirigiendo a los usuarios autenticados a URL externas arbitrarias sin validación. El problema surge de la falta de validación del parámetro `nextPage`, que acepta URL externas como destinos de redirección. Esta vulnerabilidad puede explotarse para realizar ataques de phishing o redirigir a los usuarios a sitios web maliciosos. La versión 3.2.11 contiene una solución para el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en BizLibrary de Matthew Garvin (CVE-2025-23580)
Fecha de publicación:
21/01/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en BizLibrary de Matthew Garvin permite XSS reflejado. Este problema afecta a BizLibrary: desde n/a hasta 1.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2025

Vulnerabilidad en Estatebud Estatebud – Properties & Listings (CVE-2025-23994)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Estatebud Estatebud – Properties & Listings permite XSS almacenado. Este problema afecta a Estatebud – Properties & Listings: desde n/a hasta 5.5.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2025

Vulnerabilidad en anyroad.com AnyRoad (CVE-2025-23996)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad Cross-Site Request Forgery (CSRF) en anyroad.com AnyRoad permite Cross Site Request Forgery. Este problema afecta a AnyRoad: desde n/a hasta 1.3.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2025

Vulnerabilidad en YesWiki (CVE-2025-24019)
Fecha de publicación:
21/01/2025
Idioma:
Español
YesWiki es un wiki sistema escrito en PHP. En versiones hasta incluida 4.4.5, es posible que cualquier usuario autenticado, mediante el uso del administrador de archivos, elimine cualquier archivo propiedad del usuario que ejecuta el Administrador de procesos FastCGI (FPM) en el host sin ninguna limitación en el alcance del sistema de archivos. Esta vulnerabilidad permite a cualquier usuario autenticado eliminar contenido del Wiki de forma arbitraria, lo que resulta en la pérdida parcial de datos y la desfiguración/deterioro del sitio web. En el contexto de una instalación de contenedor de YesWiki sin ninguna modificación, los archivos `yeswiki` (por ejemplo .php) no son propiedad del mismo usuario (superusuario) que el que ejecuta el proceso FPM (www-data). Sin embargo, en una instalación estándar, www-data también puede ser el propietario de los archivos PHP, lo que permite a un usuario malintencionado cortar por completo el acceso al wiki eliminando todos los archivos PHP importantes (como index.php o los archivos principales de YesWiki). La versión 4.5.0 contiene un parche para este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/05/2025

Vulnerabilidad en Widget Options Team Widget Options (CVE-2025-22722)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad de falta de autorización en Widget Options Team Widget Options permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Widget Options: desde n/a hasta 4.0.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2025

Vulnerabilidad en flashmaniac Nature FlipBook (CVE-2025-23454)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en flashmaniac Nature FlipBook permite XSS reflejado. Este problema afecta a Nature FlipBook: desde n/a hasta 1.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2025

Vulnerabilidad en Andrea Dotta, Jacopo Campani, di xkoll.com Social2Blog (CVE-2025-23461)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Andrea Dotta, Jacopo Campani, di xkoll.com Social2Blog permite XSS reflejado. Este problema afecta a Social2Blog: desde n/a hasta 0.2.990.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2025

Vulnerabilidad en Realty Workstation Realty Workstation (CVE-2025-23477)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad de falta de autorización en Realty Workstation Realty Workstation permite acceder a funciones que no están correctamente limitadas por las listas de control de acceso. Este problema afecta a Realty Workstation: desde n/a hasta 1.0.45.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2025

Vulnerabilidad en WP-Announcements de Brian Messenlehner de WebDevStudios (CVE-2025-23489)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en WP-Announcements de Brian Messenlehner de WebDevStudios permite XSS reflejado. Este problema afecta a WP-Announcements: desde n/a hasta 1.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2025

Vulnerabilidad en P. Razvan SexBundle (CVE-2025-23551)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en P. Razvan SexBundle permite XSS reflejado. Este problema afecta a SexBundle: desde n/a hasta 1.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2025

Vulnerabilidad en Bruce Wampler Weaver Themes Shortcode Compatibility (CVE-2025-22267)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Bruce Wampler Weaver Themes Shortcode Compatibility permite XSS almacenado. Este problema afecta a Weaver Themes Shortcode Compatibility: desde n/a hasta 1.0.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2025
Suscribirse a Vulnerabilidades