Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en plugin Injection Guard para WordPress (CVE-2026-3368)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Injection Guard para WordPress es vulnerable a cross-site scripting almacenado a través de nombres de parámetros de consulta maliciosos en todas las versiones hasta la 1.2.9 inclusive. Esto se debe a una sanitización de entrada insuficiente en la función `sanitize_ig_data()` que solo sanitiza los valores de los arrays pero no las claves de los arrays, combinado con una falta de escape de salida en la plantilla `ig_settings.php` donde las claves de los parámetros almacenados se imprimen directamente en HTML. Cuando se realiza una solicitud al sitio, el plugin captura la cadena de consulta a través de `$_SERVER['QUERY_STRING']`, aplica `esc_url_raw()` (que preserva caracteres especiales codificados en URL como %22, %3E, %3C), luego lo pasa a `parse_str()` que decodifica la cadena de URL, lo que resulta en HTML/JavaScript decodificado en las claves de los arrays. Estas claves se almacenan a través de `update_option('ig_requests_log')` y luego se renderizan sin `esc_html()` o `esc_attr()` en la página de registro del administrador. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en la página de registro del administrador que se ejecutan cada vez que un administrador ve la interfaz de registro de Injection Guard.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2026

Vulnerabilidad en plugin EmailKit para WooCommerce para WordPress (CVE-2026-3474)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin EmailKit – Email Customizer for WooCommerce & WP para WordPress es vulnerable a la lectura arbitraria de archivos a través de salto de ruta en todas las versiones hasta la 1.6.3, inclusive. Esto se debe a que la función action() en la clase TemplateData pasa la entrada proporcionada por el usuario del parámetro de la API REST 'emailkit-editor-template' directamente a file_get_contents() sin ninguna validación de ruta, saneamiento o restricción a un directorio permitido. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador, lean archivos arbitrarios en el servidor (como /etc /passwd o wp-config.php) al proporcionar una ruta de salto. El contenido del archivo se almacena como metadatos de publicación y posteriormente puede recuperarse a través del endpoint de la API REST fetch-data. Cabe destacar que la clase CheckForm en el mismo plugin implementa una validación de ruta adecuada utilizando realpath() y restricción de directorio, lo que demuestra que el desarrollador era consciente del riesgo pero no aplicó las mismas protecciones al endpoint TemplateData.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin Contact List para WordPress (CVE-2026-3516)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Contact List para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro '_cl_map_iframe' en todas las versiones hasta la 3.0.18, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes al manejar el campo personalizado de iframe de Google Maps. La función saveCustomFields() en class-contact-list-custom-fields.php utiliza una expresión regular para extraer etiquetas de la entrada del usuario, pero no valida ni sanitiza los atributos del iframe, permitiendo que se incluyan manejadores de eventos como onload. El HTML del iframe extraído se almacena a través de update_post_meta() y luego se renderiza en el front-end en class-cl-public-card.php sin ningún escape o filtrado wp_kses. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin RepairBuddy para WordPress (CVE-2026-3567)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin RepairBuddy – Repair Shop CRM & Booking para WordPress es vulnerable a acceso no autorizado en todas las versiones hasta, e incluyendo, la 4.1132. El plugin expone dos gestores AJAX que, cuando se combinan, permiten a cualquier usuario autenticado modificar la configuración del plugin a nivel de administrador. Primero, la función wc_rb_get_fresh_nonce() (registrada a través de los hooks wp_ajax y wp_ajax_nopriv) permite a cualquier usuario generar un nonce válido de WordPress para cualquier nombre de acción arbitrario simplemente proporcionando el parámetro nonce_name, sin comprobaciones de capacidad. Segundo, la función wc_rep_shop_settings_submission() solo verifica el nonce (wcrb_main_setting_nonce) pero no realiza ninguna comprobación de capacidad current_user_can() antes de actualizar más de 15 opciones del plugin a través de update_option(). Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, modifiquen todas las configuraciones del plugin, incluyendo el nombre de la empresa, correo electrónico, logotipo, etiqueta del menú, configuraciones de GDPR y más, primero generando un nonce válido a través del endpoint wc_rb_get_fresh_nonce y luego llamando al gestor de envío de configuraciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin iTracker360 para WordPress (CVE-2026-3572)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin iTracker360 para WordPress es vulnerable a la falsificación de petición en sitios cruzados lo que lleva a Cross-Site Scripting Almacenado en todas las versiones hasta la 2.2.0 inclusive. Esto se debe a la falta de verificación de nonce en el envío del formulario de configuración y a una sanitización de entrada insuficiente combinada con la falta de escape de salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios a través de una petición falsificada siempre que puedan engañar a un administrador para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en plugin Keep Backup Daily para WordPress (CVE-2026-3577)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Keep Backup Daily para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del alias del título de la copia de seguridad (parámetro 'val') en la acción AJAX 'update_kbd_bkup_alias' en todas las versiones hasta la 2.1.2, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes. Aunque 'sanitize_text_field()' elimina las etiquetas HTML al guardar, no codifica las comillas dobles. Los títulos de las copias de seguridad se muestran en contextos de atributos HTML sin 'esc_attr()'. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador y superior, inyecten scripts web arbitrarios a través de la inyección de atributos que se ejecutarán cada vez que otro administrador vea la página de la lista de copias de seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en discourse (CVE-2026-33425)
Fecha de publicación:
21/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, los usuarios no autenticados pueden determinar si un usuario específico es miembro de un grupo privado observando cambios en los resultados del directorio al usar el parámetro 'exclude_groups'. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, deshabilite el acceso público al directorio de usuarios a través de Admin ? Settings ? hide user profiles from public.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en discourse (CVE-2026-33426)
Fecha de publicación:
21/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, los usuarios con permisos de edición de etiquetas podían editar y crear sinónimos para etiquetas ocultas en grupos de etiquetas restringidos, incluso si carecían de visibilidad sobre esas etiquetas. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: BAJA
Última modificación:
24/03/2026

Vulnerabilidad en discourse (CVE-2026-33427)
Fecha de publicación:
21/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, un atacante no autenticado puede hacer que una página legítima de autorización de Discourse muestre un dominio controlado por el atacante, facilitando ataques de ingeniería social contra los usuarios. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No hay soluciones alternativas conocidas disponibles.
Gravedad CVSS v4.0: BAJA
Última modificación:
24/03/2026

Vulnerabilidad en discourse (CVE-2026-33428)
Fecha de publicación:
21/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, un usuario no perteneciente al personal con una membresía de grupo elevada podía acceder a publicaciones eliminadas pertenecientes a cualquier usuario debido a una verificación de autorización excesivamente amplia en el endpoint del índice de publicaciones eliminadas. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Keep Backup Daily de fahadmahmood (CVE-2026-3339)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Keep Backup Daily para WordPress es vulnerable a salto de ruta limitado en todas las versiones hasta la 2.1.1, inclusive, a través de la acción AJAX 'kbd_open_upload_dir'. Esto se debe a una validación insuficiente del parámetro 'kbd_path', que solo se sanea con 'sanitize_text_field()', una función que no elimina secuencias de salto de ruta. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador y superior, listen el contenido de directorios arbitrarios en el servidor fuera del directorio de subidas previsto.
Gravedad CVSS v3.1: BAJA
Última modificación:
22/04/2026

Vulnerabilidad en plugin Image Alt Text Manager para WordPress (CVE-2026-3350)
Fecha de publicación:
21/03/2026
Idioma:
Español
El plugin Image Alt Text Manager para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del título de la publicación en todas las versiones hasta la 1.8.2, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes al generar dinámicamente atributos 'alt' y 'title' de imagen utilizando un analizador DOM. Esto hace posible que atacantes autenticados, con acceso de nivel Autor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026
Suscribirse a Vulnerabilidades