Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en las acciones AJAX en el plugin Filr de WordPress (CVE-2022-1777)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Filr de WordPress versiones anteriores a 1.2.2.1, no presenta comprobación de autorización en dos de sus acciones AJAX, lo que permite que sean llamadas por cualquier usuario autenticado, como el suscriptor. Están protegidas con un nonce, sin embargo el nonce es filtrado en el dashboard. Esto podría permitirles subir archivos HTML arbitrarios, así como eliminar todos los archivos o los arbitrarios
Gravedad CVSS v3.1: ALTA
Última modificación:
21/06/2022

Vulnerabilidad en el plugin Peter's Collaboration E-mails de WordPress (CVE-2022-1761)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Peter's Collaboration E-mails de WordPress versiones hasta 2.2.0, es vulnerable a un ataque de tipo CSRF debido a una falta de comprobaciones de nonce. Esto permite el cambio de su configuración, que puede ser usado para bajar el nivel de usuario requerido, cambiar los textos, la dirección de correo electrónico usado y más
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el plugin Static Page eXtended de WordPress (CVE-2022-1763)
Fecha de publicación:
13/06/2022
Idioma:
Español
Debido a una falta de comprobaciones, el plugin Static Page eXtended de WordPress versiones hasta 2.1, es vulnerable a ataques de tipo CSRF que permiten cambiar la configuración del plugin, incluyendo los niveles de usuario requeridos para funciones específicas. Esto también podría conllevar a un ataque de tipo Cross-Site Scripting Almacenado debido a una falta de escape en algunos de los ajustes
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2022

Vulnerabilidad en el plugin WP-chgFontSize de WordPress (CVE-2022-1764)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin WP-chgFontSize de WordPress versiones hasta 1.8, no presenta una comprobación de tipo CSRF cuando actualiza sus ajustes, lo que podría permitir a atacantes hacer que un administrador conectado los cambie por medio de un ataque de tipo CSRF y conllevar a un ataque de tipo Cross-Site Scripting Almacenado debido a una falta de saneo y escape
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2022

Vulnerabilidad en el plugin Genki Pre-Publish Reminder de WordPress (CVE-2022-1758)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Genki Pre-Publish Reminder de WordPress versiones hasta 1.4.1, no presenta comprobación de tipo CSRF cuando es actualizada su configuración, lo que podría permitir a atacantes hacer que un administrador conectado los cambie por medio de un ataque de tipo CSRF y conllevar a un ataque de tipo XSS Almacenado así como RCE cuando es añadido código personalizado por medio de la configuración del plugin
Gravedad CVSS v3.1: ALTA
Última modificación:
22/06/2022

Vulnerabilidad en el plugin RB Internal Links de WordPress (CVE-2022-1759)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin RB Internal Links de WordPress versiones hasta 2.0.16, no presenta comprobación de tipo CSRF cuando es actualizada su configuración, lo que podría permitir a atacantes hacer que un administrador conectado los cambie por medio de un ataque de tipo CSRF, así como llevar a cabo ataques de tipo Cross-Site Scripting Almacenado debido a una falta de saneo y escape
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2022

Vulnerabilidad en los encabezados HTTP en el plugin iQ Block Country de WordPress (CVE-2022-1762)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin iQ Block Country de WordPress versiones hasta 1.2.13, no comprueba correctamente los encabezados HTTP para comprobar la dirección IP de origen, lo que permite a actores de amenazas omitir su función de bloqueo al suplantar los encabezados
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el plugin Simple Membership de WordPress (CVE-2022-1724)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Simple Membership de WordPress versiones anteriores a 4.1.1, no sanea ni escapa apropiadamente los parámetros antes de devolverlos en las acciones AJAX, conllevando a un ataque de tipo Cross-Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2022

Vulnerabilidad en una configuración de sus campos de Calendario en el plugin Appointment Hour Booking para WordPress (CVE-2022-1710)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Appointment Hour Booking para WordPress versiones anteriores a 1.3.56, no sanea y escapa de una configuración de sus campos de Calendario, lo que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando el unfiltered_html no está permitido
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2022

Vulnerabilidad en el parámetro s en el archivo ~/public/frontend.php en el plugin Google Tag Manager for WordPress para WordPress (CVE-2022-1707)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Google Tag Manager for WordPress para WordPress es vulnerable a un ataque de tipo Cross-Site Scripting reflejado por medio del parámetro s debido a que la búsqueda del sitio es introducida en la capa de datos de los sitios con un saneo insuficiente en versiones hasta la 1.15 incluyéndola. El archivo afectado es ~/public/frontend.php y esto podría ser explotado por atacantes no autenticados
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en las peticiones POST en la página de administración en el plugin Useful Banner Manager de WordPress (CVE-2022-1694)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Useful Banner Manager de WordPress versiones hasta 1.6.1, no lleva a cabo comprobaciones de tipo CSRF en las peticiones POST a su página de administración, lo que permite a un atacante engañar a un administrador conectado para añadir, modificar o eliminar banners del plugin mediante al enviar un formulario
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2022

Vulnerabilidad en el plugin Latest Tweets Widget de WordPress (CVE-2022-1624)
Fecha de publicación:
13/06/2022
Idioma:
Español
El plugin Latest Tweets Widget de WordPress versiones hasta 1.1.4, no presenta una comprobación de tipo CSRF cuando es actualizada su configuración, lo que podría permitir a atacantes hacer que un administrador conectado los cambie por medio de un ataque de tipo CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2022
Suscribirse a Vulnerabilidades