Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ContentStudio de WordPress (CVE-2023-0558)
Fecha de publicación:
27/01/2023
Idioma:
Español
El complemento ContentStudio para WordPress es vulnerable a la omisión de autorización debido a una verificación de token no segura que es susceptible de realizar malabarismos de tipos en versiones hasta la 1.2.5 incluida. Esto hace posible que atacantes no autenticados ejecuten funciones destinadas a usuarios con claves API adecuadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2026

Vulnerabilidad en ContentStudio de WordPress (CVE-2023-0557)
Fecha de publicación:
27/01/2023
Idioma:
Español
El complemento ContentStudio para WordPress es vulnerable a la exposición de información confidencial en versiones hasta la 1.2.5 incluida. Esto podría permitir a atacantes no autenticados obtener un nonce necesario para la creación de publicaciones.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2026

Vulnerabilidad en ContentStudio de WordPress (CVE-2023-0556)
Fecha de publicación:
27/01/2023
Idioma:
Español
El complemento ContentStudio para WordPress es vulnerable a la omisión de autorización debido a una falta de verificación de capacidad en varias funciones en versiones hasta la 1.2.5 incluida. Esto hace posible que atacantes no autenticados obtengan los metadatos del blog (a través de la función cstu_get_metadata) que incluye el contentstudio_token del complemento. Conocer este token permite otras interacciones con el complemento, como crear publicaciones en versiones anteriores a la 1.2.5, lo que agregó otros requisitos para la publicación y actualización.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2026

Vulnerabilidad en GitLab EE (CVE-2022-4255)
Fecha de publicación:
27/01/2023
Idioma:
Inglés
*** Pendiente de traducción *** An info leak issue was identified in all versions of GitLab EE from 13.7 prior to 15.4.6, 15.5 prior to 15.5.5, and 15.6 prior to 15.6.1 which exposes user email id through webhook payload.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2023

Vulnerabilidad en Italtel NetMatch-S CI 5.2.0-20211008 (CVE-2022-39813)
Fecha de publicación:
27/01/2023
Idioma:
Español
Italtel NetMatch-S CI 5.2.0-20211008 sufre de múltiples problemas XSS reflejados/almacenados en NMSCIWebGui/j_security_check a través del parámetro j_username, o NMSCIWebGui/actloglineview.jsp a través del parámetro nombre o actLine. Un atacante que aproveche esta vulnerabilidad podría inyectar JavaScript arbitrario. El payload se activará cada vez que un usuario autenticado navegue por la página que la contiene.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en Pandora FMS (CVE-2022-43979)
Fecha de publicación:
27/01/2023
Idioma:
Español
Existe un Path Traversal que conduce a una Inclusión de Archivos Locales en Pandora FMS v764. Se llama a una función para comprobar que el parámetro que el usuario ha insertado no contiene caracteres maliciosos, pero esta comprobación es insuficiente. Un atacante podría insertar una ruta absoluta para superar la comprobación, pudiendo así incluir cualquier fichero PHP que resida en el disco. La explotación de esta vulnerabilidad podría conducir a una ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/02/2023

Vulnerabilidad en Italtel NetMatch-S CI 5.2.0-20211008 (CVE-2022-39812)
Fecha de publicación:
27/01/2023
Idioma:
Español
Italtel NetMatch-S CI 5.2.0-20211008 permite el recorrido de ruta absoluto en NMSCI-WebGui/SaveFileUploader. Un usuario no autenticado puede cargar archivos en una ruta arbitraria. Un atacante puede cambiar el parámetro uploadDir en una solicitud POST (no es posible usando la GUI) a un directorio arbitrario. Debido a que la aplicación no verifica en qué directorio se cargará un archivo, un atacante puede realizar una variedad de ataques que pueden resultar en un acceso no autorizado al servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/03/2025

Vulnerabilidad en Revenue Collection System v1.0 (CVE-2022-46968)
Fecha de publicación:
27/01/2023
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) almacenado en /index.php?page=help de Revenue Collection System v1.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado en los mensajes enviados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en GitLab CE/EE (CVE-2022-4205)
Fecha de publicación:
27/01/2023
Idioma:
Español
En Gitlab EE/CE anterior a 15.6.1, 15.5.5 y 15.4.6, el uso de una rama con un nombre hexadecimal podía anular un hash existente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2025

Vulnerabilidad en GitLab CE/EE (CVE-2022-4201)
Fecha de publicación:
27/01/2023
Idioma:
Español
Un blind SSRF en GitLab CE/EE que afecta a todas las versiones 11.3 anteriores a 15.4.6, 15.5 anteriores a 15.5.5 y 15.6 anteriores a 15.6.1 permite a un atacante conectarse a direcciones locales al configurar un GitLab Runner malicioso.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/03/2025

Vulnerabilidad en la funcionalidad de edición de mapas de red en Pandora FMS (CVE-2022-43980)
Fecha de publicación:
27/01/2023
Idioma:
Español
Existe una vulnerabilidad de cross-site scripting persistente en Pandora FMS v765, en la funcionalidad de edición de mapas de red. Un atacante podría modificar un mapa de red, incluyendo a propósito el nombre de un payload XSS. Una vez creado, si un usuario con privilegios de administrador hace clic en los mapas de red editados, se ejecutará el payload XSS. La explotación de esta vulnerabilidad podría permitir a un atacante robar el valor de la cookie del usuario con rol de administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/02/2023

Vulnerabilidad en Pandora FMS (CVE-2022-43978)
Fecha de publicación:
27/01/2023
Idioma:
Español
Existe una vulnerabilidad de autenticación inadecuada en Pandora FMS v764. La aplicación verifica que el usuario tiene una sesión válida cuando no está intentando hacer un login. Como el "secret" es estático en la función generatePublicHash, un atacante con conocimiento de una sesión válida podría abusar de esto para saltarse la comprobación de autenticación.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/06/2023
Suscribirse a Vulnerabilidades