Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Simple Membership para WordPress (CVE-2024-4383)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Simple Membership para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto 'swpm_paypal_subscription_cancel_link' del complemento en todas las versiones hasta la 4.4.5 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2025

Vulnerabilidad en Prime Slider – Addons For Elementor para WordPress (CVE-2024-4339)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Prime Slider – Addons For Elementor (Revolution of a slider, Hero Slider, Ecommerce Slider) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget General en todas las versiones hasta la 3.14.3 incluida debido a una entrada insuficiente sanitización y escape de producción. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2025

Vulnerabilidad en Rank Math SEO con AI Best SEO Tools para WordPress (CVE-2024-4335)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Rank Math SEO con AI Best SEO Tools para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'textAlign' en versiones hasta la 1.0.217 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en Thim Elementor Kit para WordPress (CVE-2024-4329)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Thim Elementor Kit para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'id' en todas las versiones hasta la 1.1.9 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2024

Vulnerabilidad en EmbedPress – Embed PDF, Google Docs, Vimeo, Wistia, Embed YouTube Videos, Audios, Maps & Embed Any Documents in Gutenberg & Elementor para WordPress (CVE-2024-4316)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento EmbedPress – Embed PDF, Google Docs, Vimeo, Wistia, Embed YouTube Videos, Audios, Maps & Embed Any Documents in Gutenberg & Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'id' en todas las versiones hasta , incluido, 3.9.16 debido a una sanitización insuficiente de los insumos y al escape de los productos. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/01/2025

Vulnerabilidad en PostgreSQL (CVE-2024-4317)
Fecha de publicación:
14/05/2024
Idioma:
Español
La falta de autorización en las vistas integradas de PostgreSQL pg_stats_ext y pg_stats_ext_exprs permite a un usuario de base de datos sin privilegios leer los valores más comunes y otras estadísticas de los comandos CREATE STATISTICS de otros usuarios. Los valores más comunes pueden revelar valores de columnas que el espía no podría leer de otro modo o resultados de funciones que no pueden ejecutar. La instalación de una versión no afectada solo corrige instalaciones nuevas de PostgreSQL, es decir, aquellas que se crean con la utilidad initdb después de instalar esa versión. Las instalaciones actuales de PostgreSQL seguirán siendo vulnerables hasta que sigan las instrucciones de las notas de la versión. Dentro de las versiones principales 14-16, las versiones menores anteriores a PostgreSQL 16.3, 15.7 y 14.12 se ven afectadas. Las versiones anteriores a PostgreSQL 14 no se ven afectadas.
Gravedad CVSS v3.1: BAJA
Última modificación:
28/03/2025

Vulnerabilidad en Soccer Engine – Soccer Plugin para WordPress (CVE-2024-4312)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Soccer Engine – Soccer Plugin para WordPress es vulnerable a la Cross-Site Request Forgery en todas las versiones hasta la 1.12 incluida. Esto se debe a que falta una validación nonce o es incorrecta al guardar la configuración del partido y del equipo. Esto hace posible que atacantes no autenticados cambien la configuración de los complementos, así como los equipos, jugadores, etc. mediante una solicitud falsificada, ya que pueden engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2024

Vulnerabilidad en Hostel para WordPress (CVE-2024-4314)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Hostel para WordPress es vulnerable a la Cross-Site Request Forgery en todas las versiones hasta la 1.1.5.3 incluida. Esto se debe a una validación nonce faltante o incorrecta al administrar salas. Esto hace posible que atacantes no autenticados creen y eliminen salas mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2024

Vulnerabilidad en Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders para WordPress (CVE-2024-4275)
Fecha de publicación:
14/05/2024
Idioma:
Español
Los complementos Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders para WordPress son vulnerables a Cross-Site Scripting Almacenado a través del widget Círculo interactivo del complemento en todas las versiones hasta la 5.9.19 incluida debido a una sanitización de entrada insuficiente y la salida se escapa en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025

Vulnerabilidad en LearnPress – WordPress LMS Plugin para WordPress (CVE-2024-4277)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento LearnPress – WordPress LMS Plugin para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'layout_html' en todas las versiones hasta la 4.2.6.5 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025

Vulnerabilidad en White Label CMS para WordPress (CVE-2024-4280)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento White Label CMS para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función reset_plugin en todas las versiones hasta la 2.7.3 incluida. Esto hace posible que atacantes no autenticados restablezcan la configuración del complemento.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2024

Vulnerabilidad en Digisol Router (CVE-2024-4231)
Fecha de publicación:
14/05/2024
Idioma:
Español
Esta vulnerabilidad existe en Digisol Router (DG-GR1321: versión de hardware 3.7L; versión de firmware: v3.2.02) debido a la presencia de acceso al terminal raíz en una interfaz serie sin el control de acceso adecuado. Un atacante con acceso físico podría aprovechar esto identificando los pines UART y accediendo al shell raíz del sistema vulnerable. La explotación exitosa de esta vulnerabilidad podría permitir al atacante acceder a información confidencial en el sistema objetivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/08/2024
Suscribirse a Vulnerabilidades