Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2022-50960

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** WordPress International Sms For Contact Form 7 Integration version 1.2 contains a reflected cross-site scripting vulnerability in the page parameter of the admin settings interface. Attackers can inject malicious scripts through the page parameter in class-sms-log-display.php to execute arbitrary JavaScript in administrator browsers.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2022-50961

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** WordPress Plugin IP2Location Country Blocker 2.26.7 contains a stored cross-site scripting vulnerability that allows authenticated users to inject arbitrary JavaScript code through the Frontend Settings interface. Attackers can inject malicious scripts in the URL field of the Display page settings that execute when administrators or other authenticated users visit the plugin settings page.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2022-50962

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** uBidAuction 2.0.1 contains a reflected cross-site scripting vulnerability in the orders/myOrders module. The date_created, date_from, date_to, and created_at parameters in the filter functionality are not properly sanitized, allowing remote attackers to inject malicious scripts via crafted GET requests that execute in victims&#39; browsers.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2022-50957

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Drupal avatar_uploader 7.x-1.0-beta8 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the file parameter. Attackers can craft URLs with script payloads in the file parameter of avatar_uploader.pages.inc to execute arbitrary JavaScript in victim browsers.

Gravedad CVSS v4.0: MEDIA

Última modificación:

13/05/2026

CVE-2022-50944

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Aero CMS 0.0.1 contains a PHP code injection vulnerability that allows authenticated attackers to execute arbitrary PHP code by uploading malicious files through the image parameter. Attackers can upload PHP files with embedded code to the admin posts.php endpoint with source=add_post parameter, and the uploaded files are executed by the server.

Gravedad CVSS v4.0: ALTA

Última modificación:

12/05/2026

CVE-2022-50945

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** WordPress 3dady real-time web stats plugin 1.0 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious JavaScript by exploiting unsanitized input fields. Attackers can insert JavaScript payloads in the dady_input_text or dady2_input_text fields via the plugin options panel to execute arbitrary code when the page is viewed.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2022-50946

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** WordPress Plugin Netroics Blog Posts Grid 1.0 contains a stored cross-site scripting vulnerability that allows authenticated editors to inject malicious scripts by failing to sanitize the post_title parameter. Attackers with editor privileges can inject script payloads through the testimonial title field that execute in the browsers of other users viewing the draft post, enabling cookie theft and session hijacking.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2022-50947

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** WordPress Plugin Testimonial Slider and Showcase 2.2.6 contains a stored cross-site scripting vulnerability that allows authenticated editors to inject malicious scripts by failing to sanitize the post_title parameter. Attackers with editor privileges can inject JavaScript payloads through the testimonial title field that execute in the browsers of users viewing the draft post, enabling cookie theft and session hijacking.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2022-50948

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Motopress Hotel Booking Lite 4.2.4 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting payloads in accommodation type fields. Attackers can inject script tags through the title and excerpt parameters when creating accommodation types, which execute in the browser when visitors access the accommodations page.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2022-50949

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** WordPress Plugin Videos sync PDF 1.7.4 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by exploiting unsanitized mov, pdf, mp4, webm, and ogg parameters. Attackers can inject payloads like autofocus onfocus event handlers through the plugin options panel to execute arbitrary JavaScript when administrators view or edit video settings.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2022-50954

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** WordPress Plugin cab-fare-calculator 1.0.3 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by manipulating the controller parameter in tblight.php. Attackers can supply path traversal sequences through the controller GET parameter to include and execute files outside the intended controllers directory.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

CVE-2021-47946

Fecha de publicación:

10/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenCart 3.0.3.6 contains a cross-site request forgery vulnerability in the /account/edit endpoint that allows unauthenticated attackers to modify victim account details by tricking users into visiting malicious pages. Attackers can craft CSRF payloads that change victim email addresses and account information, then use password reset functionality to gain unauthorized access to compromised accounts.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/05/2026

Suscribirse a Vulnerabilidades