Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el método y los parámetros de compartir GET (CVE-2021-24298)
Fecha de publicación:
24/05/2021
Idioma:
Español
El método y los parámetros de compartir GET de las páginas del Sorteo no se sanearon, validaron o escaparon versiones anteriores a volver a aparecer en las páginas, lo que conllevó a un XSS reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021

Vulnerabilidad en la funcionalidad slider import search del plugin PickPlugins Product Slider para WooCommerce WordPress (CVE-2021-24300)
Fecha de publicación:
24/05/2021
Idioma:
Español
La funcionalidad slider import search del plugin PickPlugins Product Slider para WooCommerce WordPress versiones anteriores a 1.13.22 no saneaba apropiadamente el parámetro GET de la palabra clave, conllevando a un problema de tipo Cross-Site Scripting reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021

Vulnerabilidad en el plugin Autoptimize WordPress (CVE-2021-24332)
Fecha de publicación:
24/05/2021
Idioma:
Español
El plugin Autoptimize WordPress versiones anteriores a 2.8.4, carece de un escape y un saneamiento adecuados en algunas de sus configuraciones, lo que permitía a usuarios muy privilegiados configurar cargas útiles XSS en ellos, conllevando a problemas de tipo cross-site scripting almacenado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el campo "Default Skin" en el plugin de WordPress de Hana Flv Player (CVE-2021-24302)
Fecha de publicación:
24/05/2021
Idioma:
Español
El plugin de WordPress de Hana Flv Player versiones hasta 3.1.3, es vulnerable a una vulnerabilidad de tipo Cross-Site Scripting (XSS) Autenticado Almacenado dentro del campo "Default Skin"
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021

Vulnerabilidad en URL con el parámetro "weeWzKey" en el plugin de WordPress Target First (CVE-2021-24305)
Fecha de publicación:
24/05/2021
Idioma:
Español
El plugin de WordPress Target First versión v2.0, también se conoce anteriormente como Watcheezy, sufre una vulnerabilidad crítica de tipo XSS almacenado no autenticado. Un atacante podría cambiar el valor de la clave de licencia por medio de un POST en cualquier URL con el parámetro "weeWzKey" que se guardará como la opción 'weeID y no es saneado
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021

Vulnerabilidad en el área de texto "hotjar script" en el plugin de WordPress de Hotjar Connecticator (CVE-2021-24301)
Fecha de publicación:
24/05/2021
Idioma:
Español
El plugin de WordPress de Hotjar Connecticator versiones hasta 1.1.1 es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) almacenado en el área de texto "hotjar script". La petición incluía un código de tipo CSRF que fue comprobado apropiadamente por el servidor y esta vulnerabilidad solo podía ser explotada por usuarios administradores
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021

Vulnerabilidad en el plugin de WordPress Ultimate Member - User Profile, User Registration, Login & Membership Plugin (CVE-2021-24306)
Fecha de publicación:
24/05/2021
Idioma:
Español
El plugin de WordPress Ultimate Member - User Profile, User Registration, Login & Membership Plugin versión anterior a 2.1.20, no saneaba, validaba ni codificaba apropiadamente la cadena de consulta cuando genera un enlace para editar el perfil del usuario, lo que generaba un problema de tipo Cross-Site Scripting reflejado autenticado. Es requerido el conocimiento del nombre de usuario objetivo para explotar esto, y los atacantes tendrían que hacer que el usuario conectado relacionado abra un enlace malicioso
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el host subyacente en la carga de un archivo .ini de respaldo en la sección "Tool ) Import/Export" en All in One SEO – Best WordPress SEO Plugin – Easily Improve Your SEO Rankings (CVE-2021-24307)
Fecha de publicación:
24/05/2021
Idioma:
Español
All in One SEO – Best WordPress SEO Plugin – Easily Improve Your SEO Rankings versiones anteriores a 4.1.0.2 permite a usuarios autenticados con el privilegio "aioseo_tools_settings" (la mayoría de las veces administrador) ejecutar código arbitrario en el host subyacente. Los usuarios pueden restaurar la configuración del plugin al cargar un archivo .ini de respaldo en la sección "Tool ) Import/Export". Sin embargo, el plugin intenta anular la serialización de los valores del archivo .ini. Además, el plugin incorpora la biblioteca Monolog que puede ser usada para diseñar una cadena de dispositivos y, por lo tanto, desencadenar una ejecución de comandos del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en el sistema de archivos en los dispositivos WAGO PFC200 (CVE-2021-21001)
Fecha de publicación:
24/05/2021
Idioma:
Español
En los dispositivos WAGO PFC200 en diferentes versiones de firmware con paquetes especiales diseñados, un atacante autorizado con acceso de red al dispositivo puede acceder al sistema de archivos con mayores privilegios
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021

Vulnerabilidad en el servicio de inicio de sesión del tiempo de ejecución en dispositivos WAGO PFC200 (CVE-2021-21000)
Fecha de publicación:
24/05/2021
Idioma:
Español
En dispositivos WAGO PFC200 en diferentes versiones de firmware con paquetes especiales diseñados, un atacante con acceso de red al dispositivo podría causar una denegación de servicio para el servicio de inicio de sesión del tiempo de ejecución
Gravedad CVSS v3.1: ALTA
Última modificación:
28/05/2021

Vulnerabilidad en una vista en línea (CVE-2021-33496)
Fecha de publicación:
24/05/2021
Idioma:
Español
Dutchcoders transfer.sh versiones anteriores a 1.2.4, permite un ataque de tipo XSS por medio de una vista en línea
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2021

Vulnerabilidad en Dutchcoders transfer.sh (CVE-2021-33497)
Fecha de publicación:
24/05/2021
Idioma:
Español
Dutchcoders transfer.sh anterior a 1.2.4 permite un Salto de Directorio para eliminar archivos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2021
Suscribirse a Vulnerabilidades