Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin de WordPress Simple Membership (CVE-2026-11855)

Fecha de publicación:
06/07/2026
Idioma:
Español
El plugin de WordPress Simple Membership, en versiones anteriores a la 4.7.5, no verifica la autenticidad de las solicitudes de webhook de Stripe cuando no se ha configurado ningún secreto de firma, ni escapa los valores extraídos de dichas solicitudes antes de mostrarlos en un aviso para el administrador, lo que permite a atacantes no autenticados inyectar scripts web arbitrarios que se ejecutan en el contexto de un administrador que ha iniciado sesión.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2026

Vulnerabilidad en el plugin de WordPress FileOrganizer (CVE-2026-11962)

Fecha de publicación:
06/07/2026
Idioma:
Español
El plugin de WordPress FileOrganizer, en versiones anteriores a la 1.2.0, no valida el tipo de archivo en varias de sus operaciones de gestión de archivos, lo que permite a los usuarios autenticados a los que se les ha concedido acceso al gestor de archivos —que, gracias a su complemento premium, puede ampliarse a los roles de subadministrador— subir archivos PHP arbitrarios y lograr la ejecución remota de código. Se trata de una corrección incompleta de CVE-2024-7985, que solo añadió la validación del tipo de archivo a la operación de subida.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2026

Vulnerabilidad en El plugin de WordPress Admin and Site Enhancements (ASE) (CVE-2026-12083)

Fecha de publicación:
06/07/2026
Idioma:
Español
El plugin de WordPress Admin and Site Enhancements (ASE), en versiones anteriores a la 8.8.4, y el plugin admin-site-enhancements-pro, en versiones anteriores a la 8.8.4, no realizan comprobaciones de autenticación, autorización ni de nonce en el gestor de solicitudes de restauración de roles, lo que permite a atacantes no autenticados restaurar una cuenta de administrador previamente degradada a su rol de administrador. Se trata de una corrección incompleta de los vulnerabilidades CVE-2024-43333 y CVE-2025-24648, que solo resolvió el problema para una de las rutas de degradación que expone la API de roles de WordPress.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2026

Vulnerabilidad en el plugin de WordPress Notifications for Forms & WordPress Actions (CVE-2024-6228)

Fecha de publicación:
06/07/2026
Idioma:
Español
El plugin de WordPress Notifications for Forms & WordPress Actions, en versiones anteriores a la 2.6, no valida los valores proporcionados por el usuario antes de utilizarlos para crear una ruta de inclusión de archivos del lado del servidor, lo que permite a los usuarios autenticados con acceso de nivel suscriptor o superior incluir y ejecutar archivos PHP locales arbitrarios en el servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2026

Vulnerabilidad en el plugin AllCoach para WordPress (CVE-2026-10830)

Fecha de publicación:
06/07/2026
Idioma:
Español
El plugin AllCoach para WordPress, en versiones anteriores a la 1.0.2, no comprueba si una dirección de correo electrónico enviada a un punto final público de registro de cuentas ya está asociada a un usuario existente antes de sobrescribir la contraseña de dicho usuario, lo que permite a atacantes no autenticados restablecer la contraseña de cuentas arbitrarias, incluidas las de los administradores, y hacerse con el control del sitio web.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2026

Vulnerabilidad en CodeAstro Apartment (CVE-2026-14797)

Fecha de publicación:
06/07/2026
Idioma:
Español
Se ha detectado una vulnerabilidad en el sistema de gestión de visitantes de CodeAstro Apartment 1.0. Esta vulnerabilidad afecta a una parte desconocida del código del archivo /apartment-visitor/edit-apartment.php. La manipulación del argumento editid puede dar lugar a una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y podría ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
06/07/2026

Vulnerabilidad en CodeAstro Ecommerce Website (CVE-2026-14799)

Fecha de publicación:
06/07/2026
Idioma:
Español
Se ha descubierto una vulnerabilidad de seguridad en CodeAstro Ecommerce Website 1.0. La vulnerabilidad afecta a una función desconocida del archivo /customer/my_account.php?my_wishlist. La manipulación del argumento delete_wishlist da lugar a una inyección SQL. El ataque puede lanzarse de forma remota. El código de explotación se ha hecho público y podría utilizarse para llevar a cabo ataques.
Gravedad CVSS v4.0: BAJA
Última modificación:
06/07/2026

Vulnerabilidad en CodeAstro Apartment (CVE-2026-14798)

Fecha de publicación:
06/07/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en el sistema de gestión de visitantes de CodeAstro Apartment 1.0. Este problema afecta a un proceso desconocido del archivo /apartment-visitor/visitor-entry.php. La manipulación del argumento visname da lugar a una inyección SQL. El ataque puede iniciarse de forma remota. El código de explotación está disponible públicamente y podría utilizarse.
Gravedad CVSS v4.0: BAJA
Última modificación:
07/07/2026

Vulnerabilidad en CodeAstro Apartment (CVE-2026-14795)

Fecha de publicación:
06/07/2026
Idioma:
Español
Se ha detectado una vulnerabilidad en el sistema de gestión de visitantes de CodeAstro Apartment, versión 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /apartment-visitor/action-visitor.php. La manipulación del argumento remark da lugar a una inyección SQL. El ataque puede llevarse a cabo de forma remota. El exploit se ha hecho público y podría estar siendo utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
06/07/2026

Vulnerabilidad en CodeAstro Apartment (CVE-2026-14796)

Fecha de publicación:
06/07/2026
Idioma:
Español
Se ha detectado una vulnerabilidad en el sistema de gestión de visitantes de CodeAstro Apartment 1.0. Esta afecta a una parte desconocida del archivo /apartment-visitor/report.php. La manipulación del argumento fromdate da lugar a una inyección SQL. Es posible lanzar el ataque de forma remota. El código de explotación se ha hecho público y podría utilizarse.
Gravedad CVSS v4.0: BAJA
Última modificación:
06/07/2026

CVE-2026-14794

Fecha de publicación:
06/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw has been found in Craft CMS up to 4.18.0.1. Affected by this vulnerability is the function actionGetNewUsersData of the file src/controllers/ChartsController.php of the component Charts Endpoint. This manipulation of the argument userGroupId causes improper authorization. The attack is possible to be carried out remotely. Upgrading to version 4.18.1 addresses this issue. Patch name: 9ee53efc1314e6aba32771c66a13e072a246f4ce. It is suggested to upgrade the affected component.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/07/2026

CVE-2026-14793

Fecha de publicación:
06/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was detected in Craft CMS up to 4.18.0.1. Affected is the function actionReorderSets of the file src/controllers/GlobalsController.php of the component reorder-sets Endpoint. The manipulation results in authorization bypass. The attack can be executed remotely. Upgrading to version 4.18.1 is able to address this issue. The patch is identified as 9bd05c91e6a7e6da5e949ec41a31c220c059aa04. The affected component should be upgraded.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/07/2026