Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2022-50963
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/active module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50964
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/myAuctions/status/loose module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50965
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the posts/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50966
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the news/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50967
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the tickets/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50968
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the auctions/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50969
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the backend/mailingLog/manage module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims' browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50970
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** WordPress Plugin AAWP 3.16 contains a reflected cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by manipulating the tab parameter. Attackers can craft URLs with XSS payloads in the tab parameter of the aawp-settings admin page to execute arbitrary JavaScript in the context of authenticated users.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50955
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** WordPress Plugin Curtain 1.0.2 contains a cross-site request forgery vulnerability that allows attackers to activate or deactivate site maintenance mode by crafting malicious requests. Attackers can trick authenticated administrators into submitting forged requests to the options-general.php page with curtain parameters to toggle maintenance mode without valid nonce validation.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50956
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** WordPress Plugin amministrazione-aperta 3.7.3 contains a local file read vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting insufficient input validation in the open parameter. Attackers can supply file paths through the open GET parameter in dispatcher.php to include and read sensitive files accessible to the web server.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50958
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** WordPress Plugin Jetpack 9.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the post_id parameter. Attackers can craft URLs to the grunion-form-view.php endpoint with script payloads in the post_id parameter to execute arbitrary JavaScript in victim browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026

CVE-2022-50959
Fecha de publicación:
10/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** WordPress Contact Form Builder 1.6.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by exploiting the form_id parameter. Attackers can craft malicious URLs to code_generator.php with script payloads in the form_id parameter to execute arbitrary JavaScript in victim browsers.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2026
Suscribirse a Vulnerabilidades