Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenClaw (CVE-2026-32049)
Fecha de publicación:
21/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.2.22 no logran aplicar consistentemente los límites configurados de bytes de medios entrantes antes de almacenar en búfer medios remotos a través de múltiples rutas de ingesta de canales. Atacantes remotos pueden enviar cargas útiles de medios sobredimensionadas para desencadenar un uso elevado de memoria y una potencial inestabilidad del proceso.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32050)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.25 contienen una vulnerabilidad de control de acceso en el manejo de notificaciones de reacción de señal que permite a remitentes no autorizados poner en cola eventos de estado antes de que se apliquen las comprobaciones de autorización. Los atacantes pueden explotar la ruta de eventos de solo reacción en event-handler.ts para poner en cola líneas de estado de reacción de señal para sesiones sin la validación adecuada de acceso a DM o grupo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32042)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw 2026.2.22 anteriores a 2026.2.25 contienen una vulnerabilidad de escalada de privilegios que permite a las identidades de dispositivos no emparejados eludir los requisitos de emparejamiento del operador y autoasignarse ámbitos de operador elevados, incluyendo operator.admin. Atacantes con autenticación de pasarela compartida válida pueden presentar una identidad de dispositivo no emparejado autofirmada para solicitar y obtener ámbitos de operador superiores antes de que se conceda la aprobación de emparejamiento.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32043)
Fecha de publicación:
21/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.2.25 contienen una vulnerabilidad de tiempo de verificación a tiempo de uso en la ejecución de system.run vinculada a aprobación donde el parámetro cwd es validado en el momento de la aprobación pero resuelto en el momento de la ejecución. Los atacantes pueden redirigir un cwd enlazado simbólicamente entre la aprobación y la ejecución para eludir las restricciones de ejecución de comandos y ejecutar comandos arbitrarios en los hosts de nodo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32044)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.3.2 contienen una vulnerabilidad de extracción de archivos en la ruta del instalador tar.bz2 que omite las comprobaciones de seguridad aplicadas a otros formatos de archivo. Los atacantes pueden crear archivos de habilidad tar.bz2 maliciosos para omitir el bloqueo de entradas especiales y las barreras de protección de tamaño extraído, causando una denegación de servicio local durante la instalación de la habilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en plugin Scoreboard for HTML5 Games Lite para WordPress (CVE-2026-4083)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Scoreboard for HTML5 Games Lite para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode 'scoreboard' en todas las versiones hasta la 1.2, inclusive. La función de shortcode sfhg_shortcode() permite que se añadan atributos HTML arbitrarios al elemento renderizado, con solo una pequeña lista negra de cuatro nombres de atributos (same_height_as, onload, onpageshow, onclick) bloqueados. Si bien los nombres de los atributos se pasan a través de esc_html() y los valores a través de esc_attr(), esto no evita la inyección de atributos de gestor de eventos JavaScript como onfocus, onmouseover, onmouseenter, etc., porque estos nombres de atributos y cargas útiles JavaScript simples no contienen caracteres que serían modificados por estas funciones de escape. El texto del shortcode se almacena en post_content y solo se expande a HTML en el momento de la renderización, después de que el filtrado kses de WordPress ya se haya aplicado al contenido sin procesar de la publicación. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin Injection Guard para WordPress (CVE-2026-3368)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Injection Guard para WordPress es vulnerable a cross-site scripting almacenado a través de nombres de parámetros de consulta maliciosos en todas las versiones hasta la 1.2.9 inclusive. Esto se debe a una sanitización de entrada insuficiente en la función `sanitize_ig_data()` que solo sanitiza los valores de los arrays pero no las claves de los arrays, combinado con una falta de escape de salida en la plantilla `ig_settings.php` donde las claves de los parámetros almacenados se imprimen directamente en HTML. Cuando se realiza una solicitud al sitio, el plugin captura la cadena de consulta a través de `$_SERVER['QUERY_STRING']`, aplica `esc_url_raw()` (que preserva caracteres especiales codificados en URL como %22, %3E, %3C), luego lo pasa a `parse_str()` que decodifica la cadena de URL, lo que resulta en HTML/JavaScript decodificado en las claves de los arrays. Estas claves se almacenan a través de `update_option('ig_requests_log')` y luego se renderizan sin `esc_html()` o `esc_attr()` en la página de registro del administrador. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en la página de registro del administrador que se ejecutan cada vez que un administrador ve la interfaz de registro de Injection Guard.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2026

Vulnerabilidad en plugin EmailKit para WooCommerce para WordPress (CVE-2026-3474)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin EmailKit – Email Customizer for WooCommerce & WP para WordPress es vulnerable a la lectura arbitraria de archivos a través de salto de ruta en todas las versiones hasta la 1.6.3, inclusive. Esto se debe a que la función action() en la clase TemplateData pasa la entrada proporcionada por el usuario del parámetro de la API REST 'emailkit-editor-template' directamente a file_get_contents() sin ninguna validación de ruta, saneamiento o restricción a un directorio permitido. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador, lean archivos arbitrarios en el servidor (como /etc /passwd o wp-config.php) al proporcionar una ruta de salto. El contenido del archivo se almacena como metadatos de publicación y posteriormente puede recuperarse a través del endpoint de la API REST fetch-data. Cabe destacar que la clase CheckForm en el mismo plugin implementa una validación de ruta adecuada utilizando realpath() y restricción de directorio, lo que demuestra que el desarrollador era consciente del riesgo pero no aplicó las mismas protecciones al endpoint TemplateData.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin Contact List para WordPress (CVE-2026-3516)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Contact List para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro '_cl_map_iframe' en todas las versiones hasta la 3.0.18, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes al manejar el campo personalizado de iframe de Google Maps. La función saveCustomFields() en class-contact-list-custom-fields.php utiliza una expresión regular para extraer etiquetas de la entrada del usuario, pero no valida ni sanitiza los atributos del iframe, permitiendo que se incluyan manejadores de eventos como onload. El HTML del iframe extraído se almacena a través de update_post_meta() y luego se renderiza en el front-end en class-cl-public-card.php sin ningún escape o filtrado wp_kses. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin RepairBuddy para WordPress (CVE-2026-3567)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin RepairBuddy – Repair Shop CRM & Booking para WordPress es vulnerable a acceso no autorizado en todas las versiones hasta, e incluyendo, la 4.1132. El plugin expone dos gestores AJAX que, cuando se combinan, permiten a cualquier usuario autenticado modificar la configuración del plugin a nivel de administrador. Primero, la función wc_rb_get_fresh_nonce() (registrada a través de los hooks wp_ajax y wp_ajax_nopriv) permite a cualquier usuario generar un nonce válido de WordPress para cualquier nombre de acción arbitrario simplemente proporcionando el parámetro nonce_name, sin comprobaciones de capacidad. Segundo, la función wc_rep_shop_settings_submission() solo verifica el nonce (wcrb_main_setting_nonce) pero no realiza ninguna comprobación de capacidad current_user_can() antes de actualizar más de 15 opciones del plugin a través de update_option(). Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, modifiquen todas las configuraciones del plugin, incluyendo el nombre de la empresa, correo electrónico, logotipo, etiqueta del menú, configuraciones de GDPR y más, primero generando un nonce válido a través del endpoint wc_rb_get_fresh_nonce y luego llamando al gestor de envío de configuraciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin iTracker360 para WordPress (CVE-2026-3572)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin iTracker360 para WordPress es vulnerable a la falsificación de petición en sitios cruzados lo que lleva a Cross-Site Scripting Almacenado en todas las versiones hasta la 2.2.0 inclusive. Esto se debe a la falta de verificación de nonce en el envío del formulario de configuración y a una sanitización de entrada insuficiente combinada con la falta de escape de salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios a través de una petición falsificada siempre que puedan engañar a un administrador para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin Keep Backup Daily para WordPress (CVE-2026-3577)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Keep Backup Daily para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del alias del título de la copia de seguridad (parámetro 'val') en la acción AJAX 'update_kbd_bkup_alias' en todas las versiones hasta la 2.1.2, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes. Aunque 'sanitize_text_field()' elimina las etiquetas HTML al guardar, no codifica las comillas dobles. Los títulos de las copias de seguridad se muestran en contextos de atributos HTML sin 'esc_attr()'. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador y superior, inyecten scripts web arbitrarios a través de la inyección de atributos que se ejecutarán cada vez que otro administrador vea la página de la lista de copias de seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026
Suscribirse a Vulnerabilidades