Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Billetterie de Net-Billetterie (CVE-2018-25167)
Fecha de publicación:
06/03/2026
Idioma:
Español
Net-Billetterie 2.9 contiene una vulnerabilidad de inyección SQL en el parámetro login de login.inc.php que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias. Los atacantes pueden enviar código SQL malicioso a través del parámetro POST login para extraer información de la base de datos, incluyendo nombres de usuario, contraseñas y credenciales del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Precurio Intranet Portal de Precurio (CVE-2018-25168)
Fecha de publicación:
06/03/2026
Idioma:
Español
Precurio Intranet Portal 2.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a atacantes no autenticados crear cuentas de usuario administrativas mediante el envío de peticiones POST manipuladas. Los atacantes pueden falsificar peticiones al endpoint /public/admin/user/submitnew con parámetros de creación de usuario para añadir nuevas cuentas de administrador sin requerir tokens CSRF ni interacción del usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Plan Team de 2-Plan (CVE-2018-25162)
Fecha de publicación:
06/03/2026
Idioma:
Español
2-Plan Team 1.0.4 contiene una vulnerabilidad de carga arbitraria de archivos que permite a atacantes autenticados cargar archivos PHP ejecutables enviando datos de formulario multipart a managefile.php. Los atacantes pueden cargar archivos PHP a través del parámetro userfile1 con action=upload, los cuales se almacenan en el directorio files y son ejecutados por el servidor web para ejecución remota de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en BitZoom de Bitzoom (CVE-2018-25163)
Fecha de publicación:
06/03/2026
Idioma:
Español
BitZoom 1.0 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través de los parámetros rollno y username en forgot.php y login.php. Los atacantes pueden enviar solicitudes POST manipuladas con sentencias SQL UNION para extraer información del esquema de la base de datos y el contenido de las tablas de la base de datos de la aplicación.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Warranty Tracking System de Warrantytrack (CVE-2018-25161)
Fecha de publicación:
06/03/2026
Idioma:
Español
Sistema de Seguimiento de Garantías 11.06.3 contiene una vulnerabilidad de inyección SQL que permite a los atacantes ejecutar consultas SQL arbitrarias inyectando código malicioso a través de los parámetros POST txtCustomerCode, txtCustomerName y txtPhone en SearchCustomer.php. Los atacantes pueden enviar sentencias SQL manipuladas utilizando UNION SELECT para extraer información sensible de la base de datos, incluyendo nombres de usuario, nombres de base de datos y detalles de la versión.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en B2BKing Premium de Kings Plugins (CVE-2026-28106)
Fecha de publicación:
06/03/2026
Idioma:
Español
Redirección de URL a sitio no confiable ('Redirección abierta') vulnerabilidad en Kings Plugins B2BKing Premium permite Phishing. Este problema afecta a B2BKing Premium: desde n/a antes de 5.4.20.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en Rank Math SEO PRO de Rank Math (CVE-2026-28080)
Fecha de publicación:
06/03/2026
Idioma:
Español
Vulnerabilidad de autorización faltante en Rank Math Rank Math SEO PRO permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Rank Math SEO PRO: desde n/a hasta 3.0.95.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Preferred Languages de Pascal Birchler (CVE-2024-35644)
Fecha de publicación:
06/03/2026
Idioma:
Español
Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') vulnerabilidad en Pascal Birchler Preferred Languages permite XSS basado en DOM. Este problema afecta a Preferred Languages: desde n/a hasta 2.2.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en QuickCMS de OpenSolution (CVE-2026-1468)
Fecha de publicación:
06/03/2026
Idioma:
Español
QuickCMS es vulnerable a la falsificación de petición en sitios cruzados en múltiples puntos finales. Un atacante puede crear un sitio web especial que, al ser visitado por la víctima, enviará automáticamente una petición POST con los privilegios de la víctima.<br /> Este software no implementa ninguna protección contra este tipo de ataque. Todos los formularios disponibles en este software son potencialmente vulnerables.<br /> <br /> El proveedor fue notificado con antelación sobre esta vulnerabilidad, pero no respondió con los detalles de la vulnerabilidad o el rango de versiones vulnerables. Solo la versión 6.8 fue probada y confirmada como vulnerable; otras versiones no fueron probadas y también podrían ser vulnerables.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/04/2026

Vulnerabilidad en WooCommerce de Automattic (CVE-2026-3589)
Fecha de publicación:
06/03/2026
Idioma:
Español
El plugin de WordPress WooCommerce desde las versiones 5.4.0 hasta la 10.5.2 no gestiona correctamente las solicitudes por lotes, lo que podría permitir a usuarios no autenticados realizar una llamada de administrador autenticado a puntos finales REST que no sean de tienda/WC, y crear usuarios administradores arbitrarios a través de un ataque CSRF, por ejemplo.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Zabbix (CVE-2026-23925)
Fecha de publicación:
06/03/2026
Idioma:
Español
Un usuario autenticado de Zabbix (rol de usuario) con permisos de escritura de plantillas/hosts puede crear objetos a través de la API configuration.import. Esto puede llevar a una pérdida de confidencialidad al crear hosts no autorizados. Tenga en cuenta que el rol de usuario normalmente no es suficiente para crear y editar plantillas/hosts, incluso con permisos de escritura.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en SiYuan (CVE-2026-29183)
Fecha de publicación:
06/03/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Antes de la versión 3.5.9, existe una vulnerabilidad XSS reflejada no autenticada en el endpoint de la API de icono dinámico &amp;#39;GET /api/icon/getDynamicIcon&amp;#39; cuando type=8, el contenido controlado por el atacante se incrusta en la salida SVG sin escapar. Debido a que el endpoint no está autenticado y devuelve image/svg+xml, una URL manipulada puede inyectar manejadores de eventos SVG/HTML ejecutables (por ejemplo, onerror) y ejecutar JavaScript en el origen web de SiYuan. Esto puede encadenarse para realizar acciones de API autenticadas y exfiltrar datos sensibles cuando un usuario autenticado abre el enlace malicioso. Este problema ha sido parcheado en la versión 3.5.9.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/03/2026
Suscribirse a Vulnerabilidades