Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin DW Promobar de WordPress (CVE-2022-2423)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin DW Promobar de WordPress versiones hasta 1.0.4, no sanea ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, llevar a cabo ataques de tipo Cross-Site Scripting Almacenado cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en el plugin Better Tag Cloud de WordPress (CVE-2022-2412)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin Better Tag Cloud de WordPress versiones hasta 0.99.5, no sanea y escapa de algunos de sus ajustes, lo que podría permitir a usuarios con altos privilegios, como el administrador, llevar a cabo ataques de tipo Cross-Site Scripting Almacenado cuando la función unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en el plugin Thinkific Uploader de WordPress (CVE-2022-2426)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin Thinkific Uploader de WordPress versiones hasta 1.0.0 no sanea ni escapa de su configuración, lo que podría permitir a usuarios con altos privilegios, como los administradores, llevar a cabo ataques de tipo Cross-Site Scripting Almacenado contra otros administradores
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en determinados extremos de los archivos adjuntos en Zammad (CVE-2022-35487)
Fecha de publicación:
08/08/2022
Idioma:
Español
Zammad versión 5.2.0, sufre un Control de Acceso Incorrecto. Zammad no llevaba a cabo correctamente la autorización en determinados extremos de los archivos adjuntos. Esto podría ser abusado por un atacante no autenticado para obtener acceso a los archivos adjuntos, tales como correos electrónicos o archivos adjuntos
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2022

Vulnerabilidad en Zammad (CVE-2022-35490)
Fecha de publicación:
08/08/2022
Idioma:
Español
Zammad 5.2.0 es vulnerable a la escalada de privilegios. Zammad presenta una prevención contra los ataques de fuerza bruta que intentan adivinar las credenciales de acceso. Después de una cantidad configurable de intentos, los usuarios son invalidados y se impide el inicio de sesión. Un atacante podría burlar esta prevención, permitiéndole enviar más de la cantidad configurada de peticiones antes de que se produzca la no comprobación del usuario
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/08/2022

Vulnerabilidad en la descripción del slider del portafolio en el plugin Inspiro PRO de WordPress (CVE-2022-2391)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin Inspiro PRO de WordPress no sanea la descripción del slider del portafolio, permitiendo a usuarios con privilegios tan bajos como Contributor inyectar JavaScript en la descripción
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en el plugin Crowdsignal Dashboard de WordPress (CVE-2022-2386)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin Crowdsignal Dashboard de WordPress versiones anteriores a 3.0.8, no sanea y escapa de un parámetro antes de devolverlo a la página, lo que conlleva a un ataque de tipo Cross-Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en el plugin YaySMTP de WordPress (CVE-2022-2372)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin YaySMTP de WordPress versiones anteriores a 2.2.2 no sanea ni escapa de algunos de sus parámetros, lo que podría permitir a usuarios con altos privilegios, como el administrador, llevar a cabo ataques de tipo Cross-Site Scripting Almacenado cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en el plugin Auto More Tag de WordPress (CVE-2022-2411)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin Auto More Tag de WordPress versiones hasta 4.0.0, no sanea ni escapa de algunos de sus ajustes, lo que podría permitir a usuarios con altos privilegios, como el administrador, llevar a cabo ataques de Cross-Site Scripting cuando la función unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/08/2022

Vulnerabilidad en el plugin mTouch Quiz de WordPress (CVE-2022-2410)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin mTouch Quiz de WordPress versiones hasta 3.1.3, no sanea ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, llevar a cabo ataques de Cross-Site Scripting cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/08/2022

Vulnerabilidad en la etiqueta de los datos del gráfico en el plugin Rough Chart de WordPress (CVE-2022-2409)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin Rough Chart de WordPress versiones hasta 1.0.0, no escapa correctamente de la etiqueta de los datos del gráfico, lo que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/08/2022

Vulnerabilidad en el mensaje de error de campo en el plugin Comments Fields de WordPress (CVE-2022-2398)
Fecha de publicación:
08/08/2022
Idioma:
Español
El plugin Comments Fields de WordPress versiones anteriores a 4.1, no escapa del mensaje de error de campo, lo que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html está desautorizada
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/08/2022
Suscribirse a Vulnerabilidades