Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Raptor RDF Syntax Library (CVE-2024-57823)
Fecha de publicación:
10/01/2025
Idioma:
Español
En Raptor RDF Syntax Library hasta la versión 2.0.16, hay un desbordamiento de enteros al normalizar una URI con el analizador de tortugas en raptor_uri_normalize_path().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2025

Vulnerabilidad en Raptor RDF Syntax Library (CVE-2024-57822)
Fecha de publicación:
10/01/2025
Idioma:
Español
En Raptor RDF Syntax Library hasta la versión 2.0.16, hay una sobrelectura de búfer basada en montón al analizar triples con el analizador nquads en raptor_ntriples_parse_term_internal().
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en FastCGI fcgi2 (CVE-2025-23016)
Fecha de publicación:
10/01/2025
Idioma:
Español
FastCGI fcgi2 (también conocido como fcgi) 2.x a 2.4.4 tiene un desbordamiento de enteros (y el desbordamiento de búfer basado en el montón resultante) a través de valores nameLen o valueLen manipulados en los datos del socket IPC. Esto ocurre en ReadParams en fcgiapp.c.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Essential WP Real Estate para WordPress (CVE-2024-13318)
Fecha de publicación:
10/01/2025
Idioma:
Español
El complemento Essential WP Real Estate para WordPress es vulnerable al acceso no autorizado debido a una verificación de capacidad faltante en la función cl_delete_listing_func() en todas las versiones hasta la 1.1.3 incluida. Esto permite que atacantes no autenticados eliminen páginas y publicaciones arbitrarias.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2025

Vulnerabilidad en Orbit Fox de ThemeIsle para WordPress (CVE-2024-13183)
Fecha de publicación:
10/01/2025
Idioma:
Español
El complemento Orbit Fox de ThemeIsle para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro 'title_tag' en todas las versiones hasta la 2.10.43 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten web scripts arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2025

Vulnerabilidad en Orbit Fox de ThemeIsle para WordPress (CVE-2025-0311)
Fecha de publicación:
10/01/2025
Idioma:
Español
El complemento Orbit Fox de ThemeIsle para WordPress es vulnerable a Cross Site Scripting almacenado a través del widget de tabla de precios del complemento en todas las versiones hasta la 2.10.43 incluida, debido a una desinfección de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten web scripts arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2025

Vulnerabilidad en AI Scribe – SEO AI Writer, Content Generator, Humanizer, Blog Writer, SEO Optimizer, DALLE-3, AI WordPress Plugin ChatGPT (GPT-4o 128K) (CVE-2024-12606)
Fecha de publicación:
10/01/2025
Idioma:
Español
El complemento AI Scribe – SEO AI Writer, Content Generator, Humanizer, Blog Writer, SEO Optimizer, DALLE-3, AI WordPress Plugin ChatGPT (GPT-4o 128K) para WordPress es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la función engine_request_data() en todas las versiones hasta la 2.3 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen la configuración del complemento.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en AI Scribe – SEO AI Writer, Content Generator, Humanizer, Blog Writer, SEO Optimizer, DALLE-3, AI WordPress Plugin ChatGPT (GPT-4o 128K) (CVE-2024-12473)
Fecha de publicación:
10/01/2025
Idioma:
Español
El complemento AI Scribe – SEO AI Writer, Content Generator, Humanizer, Blog Writer, SEO Optimizer, DALLE-3, AI WordPress Plugin ChatGPT (GPT-4o 128K) para WordPress es vulnerable a la inyección SQL a través del parámetro 'template_id' del shortcode 'article_builder_generate_data' en todas las versiones hasta la 2.3 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en REDCap 14.9.6 (CVE-2024-56377)
Fecha de publicación:
09/01/2025
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) almacenado en los títulos de las encuestas de REDCap 14.9.6 permite a los usuarios autenticados inyectar secuencias de comandos maliciosas en el campo Título de la encuesta o en las Instrucciones de la encuesta. Cuando un usuario recibe una encuesta y hace clic en cualquier parte de la página de la encuesta para ingresar datos, se ejecuta el payload manipulado (que se ha inyectado en todos los campos de la encuesta), lo que potencialmente permite la ejecución de web scripts arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2025

Vulnerabilidad en Azure SaaS Resources (CVE-2025-21380)
Fecha de publicación:
09/01/2025
Idioma:
Español
El control de acceso inadecuado a Azure SaaS Resources permite que un atacante autorizado divulgue información a través de una red.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2025

Vulnerabilidad en REDCap 14.9.6 (CVE-2024-56376)
Fecha de publicación:
09/01/2025
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) almacenado en el mensajero integrado de REDCap 14.9.6 permite a los usuarios autenticados inyectar secuencias de comandos maliciosas en el campo de mensajes. Cuando un usuario hace clic en el mensaje recibido, se ejecuta el payload manipulado, lo que potencialmente permite la ejecución de web scripts arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2025

Vulnerabilidad en LinZhaoguan pb-cms v.2.0 (CVE-2024-51229)
Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de Cross Site Scripting en LinZhaoguan pb-cms v.2.0 permite a un atacante remoto ejecutar código arbitrario a través de la función de administración de temas.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/09/2025
Suscribirse a Vulnerabilidades