Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-1324

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Easy Forms for Mailchimp WordPress plugin before 6.8.8 does not sanitise and escape some parameters before outputting them back in the response, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-1420

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Ajax Search Lite WordPress plugin before 4.11.1, Ajax Search Pro WordPress plugin before 4.26.2 does not sanitise and escape a parameter before outputting it back in a response of an AJAX action, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2025

CVE-2023-1435

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Ajax Search Pro WordPress plugin before 4.26.2 does not sanitise and escape various parameters before outputting them back in pages, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2025

CVE-2023-0418

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Video Central for WordPress plugin through 1.3.0 does not validate and escape some of its shortcode attributes before outputting them back in a page/post where the shortcode is embed, which could allow users with the contributor role and above to perform Stored Cross-Site Scripting attacks
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-0424

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The MS-Reviews WordPress plugin through 1.5 does not sanitise and escape reviews, which could allow users any authenticated users, such as Subscribers to perform Stored Cross-Site Scripting attacks
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-0276

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Weaver Xtreme Theme Support WordPress plugin before 6.2.7 does not validate and escape some of its shortcode attributes before outputting them back in a page/post where the shortcode is embed, which could allow users with the contributor role and above to perform Stored Cross-Site Scripting attacks.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-0388

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Random Text WordPress plugin through 0.3.0 does not properly sanitize and escape a parameter before using it in a SQL statement, leading to a SQL injection exploitable by any authenticated users, such as subscribers.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2025

CVE-2023-0420

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The Custom Post Type and Taxonomy GUI Manager WordPress plugin through 1.1 does not have CSRF, and is lacking sanitising as well as escaping in some parameters, allowing attackers to make a logged in admin put Stored Cross-Site Scripting payloads via CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

CVE-2023-27991

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The post-authentication command injection vulnerability in the CLI command of Zyxel ATP series firmware versions 4.32 through 5.35, USG FLEX series firmware versions 4.50 through 5.35, USG FLEX 50(W) firmware versions 4.16 through 5.35, USG20(W)-VPN firmware versions 4.16 through 5.35, and VPN series firmware versions 4.30 through 5.35, which could allow an authenticated attacker to execute some OS commands remotely.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/06/2023

CVE-2023-27990

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** The cross-site scripting (XSS) vulnerability in Zyxel ATP series firmware versions 4.32 through 5.35, USG FLEX series firmware versions 4.50 through 5.35, USG FLEX 50(W) firmware versions 4.16 through 5.35, USG20(W)-VPN firmware versions 4.16 through 5.35, and VPN series firmware versions 4.30 through 5.35, which could allow an authenticated attacker with administrator privileges to store malicious scripts in a vulnerable device. A successful XSS attack could then result in the stored malicious scripts being executed when the user visits the Logs page of the GUI on the device.<br /> <br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/02/2024

CVE-2023-22918

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** A post-authentication information exposure vulnerability in the CGI program of Zyxel ATP series firmware versions 4.32 through 5.35, USG FLEX series firmware versions 4.50 through 5.35, USG FLEX 50(W) firmware versions 4.16 through 5.35, USG20(W)-VPN firmware versions 4.16 through 5.35, VPN series firmware versions 4.30 through 5.35, NWA110AX firmware version 6.50(ABTG.2) and earlier versions, WAC500 firmware version 6.50(ABVS.0) and earlier versions, and WAX510D firmware version 6.50(ABTF.2) and earlier versions, which could allow a remote authenticated attacker to retrieve encrypted information of the administrator on an affected device.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2023

CVE-2023-26059

Fecha de publicación:
24/04/2023
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Nokia NetAct before 22 SP1037. On the Site Configuration Tool tab, attackers can upload a ZIP file which, when processed, exploits Stored XSS. The upload option of the Site Configuration tool does not validate the file contents. The application is in a demilitarised zone behind a perimeter firewall and without exposure to the internet. The attack can only be performed by an internal user.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025