Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en RRJ Nueva Ecija Engineer Online Portal 1.0 (CVE-2024-0181)
Fecha de publicación:
01/01/2024
Idioma:
Español
Se encontró una vulnerabilidad en RRJ Nueva Ecija Engineer Online Portal 1.0. Ha sido declarada problemática. Una función desconocida del archivo /admin/admin_user.php del componente Admin Panel es afectada por esta vulnerabilidad. La manipulación del argumento Firstname/Lastname/Username conduce a cross site scripting. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-249433.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en Popup Builder de WordPress (CVE-2023-6000)
Fecha de publicación:
01/01/2024
Idioma:
Español
El complemento Popup Builder de WordPress anterior a 4.2.3 no impide que los visitantes simples actualicen las ventanas emergentes existentes e inyecten JavaScript sin formato en ellas, lo que podría provocar ataques XSS almacenados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2025

Vulnerabilidad en WP TripAdvisor Review Slider de WordPress (CVE-2023-6037)
Fecha de publicación:
01/01/2024
Idioma:
Español
El complemento WP TripAdvisor Review Slider de WordPress anterior a 11.9 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2025

Vulnerabilidad en PayHere Payment Gateway de WordPress (CVE-2023-6064)
Fecha de publicación:
01/01/2024
Idioma:
Español
El complemento PayHere Payment Gateway de WordPress anterior a 2.2.12 crea automáticamente archivos de registro de acceso público que contienen información confidencial cuando se producen transacciones.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en WP STAGING WordPress Backup Plugin y WP STAGING Pro WordPress Backup Plugin (CVE-2023-6113)
Fecha de publicación:
01/01/2024
Idioma:
Español
WP STAGING WordPress Backup Plugin anterior a 3.1.3 y WP STAGING Pro WordPress Backup Plugin anterior a 5.1.3 no impiden que los visitantes filtren información clave sobre los procesos de copia de seguridad en curso, lo que permite a atacantes no autenticados descargar dichas copias de seguridad más tarde.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/06/2025

Vulnerabilidad en Backup Migration de WordPress (CVE-2023-6271)
Fecha de publicación:
01/01/2024
Idioma:
Español
El complemento Backup Migration de WordPress anterior a 1.3.6 almacena información de las copias de seguridad en progreso en archivos fáciles de encontrar y de acceso público, lo que puede permitir a los atacantes monitorearlos para filtrar información confidencial de las copias de seguridad del sitio.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2025

Vulnerabilidad en Download Manager de WordPress (CVE-2023-6421)
Fecha de publicación:
01/01/2024
Idioma:
Español
El complemento Download Manager de WordPress anterior a 3.2.83 no protege las contraseñas de descarga de archivos y las filtra al recibir una no válida.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/06/2025

Vulnerabilidad en Html5 Video Player de WordPress (CVE-2023-6485)
Fecha de publicación:
01/01/2024
Idioma:
Español
El complemento Html5 Video Player de WordPress anterior a 2.5.19 no sanitiza ni escapa a algunas de las configuraciones de su reproductor, lo que, combinado con la falta de comprobaciones de capacidad en torno al complemento, podría permitir que cualquier usuario autenticado, como suscriptores bajos, realice ataques de Cross-Site Scripting almacenado contra usuarios con altos privilegios como administradores
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2025

Vulnerabilidad en affiliate-toolkit de WordPress (CVE-2023-5877)
Fecha de publicación:
01/01/2024
Idioma:
Español
El complemento affiliate-toolkit de WordPress anterior a 3.4.3 carece de autorización y autenticación para solicitudes a su endpoint afiliado-toolkit-starter/tools/atkp_imagereceiver.php, lo que permite a visitantes no autenticados realizar solicitudes a URL arbitrarias, incluidas direcciones privadas RFC1918, lo que genera un problema de Server Side Request Forgery (SSRF).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/06/2025

Vulnerabilidad en FlyCms (CVE-2024-21732)
Fecha de publicación:
01/01/2024
Idioma:
Español
FlyCms a través de abbaa5a permite XSS a través de la función de permission management.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2025

Vulnerabilidad en WhileTrue Most And Least Read Posts Widget (CVE-2023-52133)
Fecha de publicación:
31/12/2023
Idioma:
Español
Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('Inyección SQL') en WhileTrue Most And Least Read Posts Widget. Este problema afecta a Most And Least Read Posts Widget: desde n/a hasta 2.5.16.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2026

Vulnerabilidad en Mestres do WP Checkout Mestres WP (CVE-2023-51469)
Fecha de publicación:
31/12/2023
Idioma:
Español
Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Mestres do WP Checkout Mestres WP. Este problema afecta a Checkout Mestres WP: desde n/a hasta 7.1.9.6.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/04/2026
Suscribirse a Vulnerabilidades