Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en AdPortal 3.0.39 (CVE-2024-50658)
Fecha de publicación:
07/01/2025
Idioma:
Español
Se encontró que Server-Side Template Injection (SSTI) en AdPortal 3.0.39 permite que un atacante remoto ejecute código arbitrario a través de los parámetros shippingAsBilling y firstname en el archivo updateuserinfo.html
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/06/2025

Vulnerabilidad en AIMS eCrew (CVE-2024-44450)
Fecha de publicación:
07/01/2025
Idioma:
Español
Existen varias funciones vulnerables a la omisión de autorización en AIMS eCrew. El problema se solucionó en la versión n.° 190 del 23 de junio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Splunk App para SOAR (CVE-2025-22621)
Fecha de publicación:
07/01/2025
Idioma:
Español
En las versiones 1.0.67 y anteriores de Splunk App para SOAR, la documentación de Splunk para esa aplicación recomendaba agregar la capacidad `admin_all_objects` al rol `splunk_app_soar`. Esta adición podría generar un control de acceso inadecuado para un usuario con poco nivel de privilegios que no tenga el rol de Splunk de "administrador".
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en WpIndeed Ultimate Learning Pro (CVE-2025-22350)
Fecha de publicación:
07/01/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en WpIndeed Ultimate Learning Pro permite la inyección SQL. Este problema afecta a Ultimate Learning Pro: desde n/a hasta 3.9.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2026

Vulnerabilidad en Code Themes Digi Store (CVE-2025-22354)
Fecha de publicación:
07/01/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Code Themes Digi Store permite XSS basado en DOM. Este problema afecta a Digi Store: desde n/a hasta 1.1.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Eric McNiece EMC2 Alert Boxes (CVE-2025-22365)
Fecha de publicación:
07/01/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Eric McNiece EMC2 Alert Boxes permite XSS almacenado. Este problema afecta a EMC2 Alert Boxes: desde n/a hasta 1.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en ORION Allada T-shirt Designer para Woocommerce (CVE-2025-22363)
Fecha de publicación:
07/01/2025
Idioma:
Español
Vulnerabilidad de autorización faltante en ORION Allada T-shirt Designer para Woocommerce. Este problema afecta a Allada T-shirt Designer para Woocommerce: desde n/a hasta 1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2026

Vulnerabilidad en Ali Ali Alpha Price Table For Elementor (CVE-2025-22500)
Fecha de publicación:
07/01/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Ali Ali Alpha Price Table For Elementor permite XSS basado en DOM. Este problema afecta a Alpha Price Table For Elementor: desde n/a hasta 1.0.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2026

Vulnerabilidad en code-projects Online Book Shop 1.0 (CVE-2025-0300)
Fecha de publicación:
07/01/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Online Book Shop 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /subcat.php. La manipulación del argumento cat provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/10/2025

Vulnerabilidad en DearHive Social Media Share Buttons | MashShare (CVE-2025-22319)
Fecha de publicación:
07/01/2025
Idioma:
Español
Vulnerabilidad de autorización faltante en DearHive Social Media Share Buttons | MashShare. Este problema afecta a Social Media Share Buttons | MashShare: desde n/a hasta 4.0.47.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en FilaThemes Education LMS (CVE-2025-22334)
Fecha de publicación:
07/01/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en FilaThemes Education LMS permite XSS almacenado. Este problema afecta a Education LMS: desde n/a hasta 0.0.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en HashThemes Hash Elements (CVE-2025-22296)
Fecha de publicación:
07/01/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en HashThemes Hash Elements. Este problema afecta a los elementos hash: desde n/a hasta 1.4.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2026
Suscribirse a Vulnerabilidades