Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tenda F453 (CVE-2026-3379)
Fecha de publicación:
01/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Tenda F453 1.0.0.3, la cual afeacta a la función fromSetIpBind del archivo /goform/SetIpBind. Manipular el argumento page conduce a desbordamiento de búfer. El ataque puede ser iniciado en remoto. El exploit ha sido divulgado al público y puede ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/03/2026

Vulnerabilidad en Tenda F453 (CVE-2026-3378)
Fecha de publicación:
01/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Tenda F453 1.0.0.3, la cual afecta a la función fromqossetting del archivo /goform/qossetting. Manipular el argumento qos puede conducir a un desbordamiento de búfer. El ataque puede lanzarse en remoto. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/03/2026

Vulnerabilidad en Tenda F453 (CVE-2026-3377)
Fecha de publicación:
01/03/2026
Idioma:
Español
Se detectó una vulnerabilidad en Tenda F453 1.0.0.3, la cual afecta a la función fromSafeUrlFilter del archivo /goform/SafeUrlFilter. Manipular el argumento page resulta en un desbordamiento de búfer. El ataque puede iniciarse de forma remota. El exploit es ahora público y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/03/2026

Vulnerabilidad en Tenda F453 (CVE-2026-3376)
Fecha de publicación:
28/02/2026
Idioma:
Español
Se ha detectado una vulnerabilidad de seguridad en Tenda F453 1.0.0.3, la cual afecta a la función fromSafeMacFilter del archivo /goform/SafeMacFilter. Manipular el argumento page conduce a un desbordamiento de búfer. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/03/2026

Vulnerabilidad en wpForo Forum (CVE-2026-28560)
Fecha de publicación:
28/02/2026
Idioma:
Español
wpForo Forum 2.4.14 contiene una vulnerabilidad de cross-site scripting almacenado que permite la inyección de scripts a través de la salida de datos de la URL del foro en un bloque de script en línea utilizando json_encode sin la bandera JSON_HEX_TAG. Los atacantes configuran un slug de foro que contiene una etiqueta de cierre de script o una comilla simple sin escapar para salir del contexto de cadena de JavaScript y ejecutar scripts arbitrarios en los navegadores de todos los visitantes.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en wpForo Forum (CVE-2026-28562)
Fecha de publicación:
28/02/2026
Idioma:
Español
wpForo 2.4.14 contiene una vulnerabilidad de inyección SQL no autenticada en Topics::get_topics() donde la cláusula ORDER BY se basa en una sanitización ineficaz de esc_sql() en identificadores sin comillas. Los atacantes explotan el parámetro wpfob con cargas útiles CASE WHEN para realizar una extracción booleana ciega de credenciales de la base de datos de WordPress.
Gravedad CVSS v4.0: ALTA
Última modificación:
05/03/2026

Vulnerabilidad en wpForo Forum (CVE-2026-28561)
Fecha de publicación:
28/02/2026
Idioma:
Español
wpForo Forum 2.4.14 contiene una vulnerabilidad de cross-site scripting almacenado que permite a los administradores inyectar JavaScript persistente a través de campos de descripción del foro mostrados sin escape de salida en múltiples archivos de plantilla de tema. En instalaciones multisitio o con una cuenta de administrador comprometida, los atacantes establecen una descripción del foro que contiene controladores de eventos HTML que se ejecutan cuando cualquier usuario ve el listado del foro.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en wpForo Forum (CVE-2026-28559)
Fecha de publicación:
28/02/2026
Idioma:
Español
wpForo Forum 2.4.14 contiene una vulnerabilidad de revelación de información que permite a usuarios no autenticados recuperar temas de foro privados y no aprobados a través del endpoint global de feed RSS. Los atacantes solicitan el feed RSS sin un parámetro de ID de foro, eludiendo las cláusulas WHERE de privacidad y estado que solo se aplican cuando un ID de foro específico está presente en la consulta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en wpForo Forum (CVE-2026-28558)
Fecha de publicación:
28/02/2026
Idioma:
Español
wpForo Forum 2.4.14 contiene una vulnerabilidad de cross-site scripting almacenado que permite a los suscriptores autenticados subir archivos SVG como avatares de perfil a través de la funcionalidad de carga de avatares. Los atacantes suben un SVG manipulado que contiene inyección CSS o manejadores de eventos JavaScript que se ejecutan en los navegadores de cualquier usuario que vea la página de perfil del atacante.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en wpForo Forum (CVE-2026-28557)
Fecha de publicación:
28/02/2026
Idioma:
Español
wpForo Forum 2.4.14 contiene una vulnerabilidad de falta de verificación de capacidad que permite a usuarios autenticados activar la reasignación masiva de grupos de usuarios de wpForo a través del gestor AJAX wpforo_synch_roles. Los atacantes acceden a la página de administración de grupos de usuarios, accesible para cualquier usuario autenticado, para obtener un nonce, luego reasignan todos los grupos de usuarios de wpForo a roles arbitrarios de WordPress.
Gravedad CVSS v4.0: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en wpForo Forum (CVE-2026-28556)
Fecha de publicación:
28/02/2026
Idioma:
Español
wpForo Forum 2.4.14 contiene una vulnerabilidad por falta de autorización que permite a suscriptores autenticados mover, fusionar o dividir cualquier tema del foro a través de los manejadores de acción de formulario topic_move, topic_merge y topic_split. Atacantes con un nonce de formulario válido pueden reorganizar contenido arbitrario del foro sin permisos de moderador, incluyendo reubicar temas a foros privados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en wpForo Forum (CVE-2026-28555)
Fecha de publicación:
28/02/2026
Idioma:
Español
wpForo Forum 2.4.14 contiene una vulnerabilidad de autorización faltante que permite a los suscriptores autenticados cerrar o reabrir cualquier tema del foro a través del gestor wpforo_close_ajax. Los atacantes envían un nonce válido con un ID de tema arbitrario para eludir el requisito de permiso de moderador y perturbar las discusiones del foro.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/03/2026
Suscribirse a Vulnerabilidades