Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Apache Hive (CVE-2024-23953)
Fecha de publicación:
28/01/2025
Idioma:
Español
El uso de Arrays.equals() en LlapSignerImpl en Apache Hive para comparar firmas de mensajes permite a un atacante falsificar una firma válida para un mensaje arbitrario byte a byte. El atacante debe ser un usuario autorizado del producto para realizar este ataque. Se recomienda a los usuarios que actualicen a la versión 4.0.0, que soluciona este problema. El problema ocurre cuando una aplicación no utiliza un algoritmo de tiempo constante para validar una firma. El método Arrays.equals() devuelve falso de inmediato cuando ve que uno de los bytes de entrada es diferente. Significa que el tiempo de comparación depende del contenido de las matrices. Esta pequeña cosa puede permitir a un atacante falsificar una firma válida para un mensaje arbitrario byte a byte. Por lo tanto, podría permitir que los usuarios malintencionados envíen divisiones/trabajos con firmas seleccionadas a LLAP sin ejecutarse como un usuario privilegiado, lo que podría conducir a un ataque DDoS. Más detalles en la sección de referencia.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en GitLab CE/EE (CVE-2025-0290)
Fecha de publicación:
28/01/2025
Idioma:
Español
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 15.0 anterior a la 17.5.5, de la 17.6 anterior a la 17.6.3 y de la 17.7 anterior a la 17.7.1. En determinadas condiciones, el procesamiento de metadatos de artefactos de CI podría provocar que los trabajos en segundo plano dejaran de responder.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en JGroups con JDBC_PING (CVE-2025-0736)
Fecha de publicación:
28/01/2025
Idioma:
Español
Se encontró una falla en Infinispan al usar JGroups con JDBC_PING. Este problema ocurre cuando una aplicación expone inadvertidamente información confidencial, como detalles de configuración o credenciales, a través de mecanismos de registro. Esta exposición puede provocar acceso no autorizado y explotación por parte de actores maliciosos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Philantro – Donations and Donor Management para WordPress (CVE-2024-13527)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento Philantro – Donations and Donor Management para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos del complemento como 'donate' en todas las versiones hasta incluida, 5.3 debido a la falta de entrada desinfección y la salida que se escapa en los atributos proporcionados por el usuario. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en MailUp Auto Subscription para WordPress (CVE-2024-13521)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento MailUp Auto Subscription para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.1.0 y incluida. Esto se debe a una validación de nonce incorrecta o faltante en la función mas_options. Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten contenido web malicioso scripts a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en ElementsKit Pro para WordPress (CVE-2025-0321)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento ElementsKit Pro para WordPress es vulnerable a Cross-Site Scripting Almacenado basado en DOM a través del parámetro ‘url’ en todas las versiones hasta la incluida 3.7.8 debido a un escape de entrada desinfección y salida insuficiente. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en WS Form LITE – Drag & Drop Contact Form Builder for WordPress para WordPress (CVE-2024-13509)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento WS Form LITE – Drag & Drop Contact Form Builder for WordPress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro url en todas las versiones hasta la 1.10.13 y incluida, debido a un escape de entrada desinfección y de salida insuficiente. Esto permite que atacantes no autenticados inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. NOTA: Esta vulnerabilidad se solucionó parcialmente en la versión 1.10.13 y se solucionó por completo en la versión 1.10.14.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2026

Vulnerabilidad en ThemeREX Addons para WordPress (CVE-2024-13448)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento ThemeREX Addons para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función 'trx_addons_uploads_save_data' en todas las versiones hasta la 2.32.3 y incluida. Esto hace posible que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/01/2025

Vulnerabilidad en Infility Global para WordPress (CVE-2024-12723)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento Infility Global para WordPress hasta la versión 2.9.8 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera una Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2025

Vulnerabilidad en Social Share Buttons para WordPress (CVE-2024-12807)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento Social Share Buttons para WordPress 2.7 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con altos privilegios como el administrador realicen ataques Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/05/2025

Vulnerabilidad en Node.js (CVE-2025-23084)
Fecha de publicación:
28/01/2025
Idioma:
Español
Se ha identificado una vulnerabilidad en Node.js que afecta específicamente a la gestión de nombres de unidades en el entorno Windows. Algunas funciones de Node.js no tratan los nombres de unidades como especiales en Windows. Como resultado, aunque Node.js asume una ruta relativa, en realidad hace referencia al directorio raíz. En Windows, una ruta que no comienza con el separador de archivos se trata como relativa al directorio actual. Esta vulnerabilidad afecta a los usuarios de Windows de la API `path.join`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Simple Image Sizes 3.2.3 (CVE-2025-24810)
Fecha de publicación:
28/01/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-site scripting en Simple Image Sizes 3.2.3 y versiones anteriores. Si se aprovecha esta vulnerabilidad, se puede ejecutar una script arbitraria en el navegador web del usuario que inicia sesión en el producto con privilegios administrativos y accede a la pantalla de configuración.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades