Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en White Bear Solutions WBSAirback (CVE-2024-3789)
Fecha de publicación:
14/05/2024
Idioma:
Español
Vulnerabilidad de consumo descontrolado de recursos en White Bear Solutions WBSAirback, versión 21.02.04. Esta vulnerabilidad podría permitir a un atacante enviar múltiples payloads de inyección de comandos para influir en la cantidad de recursos consumidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2025

Vulnerabilidad en github.com/containers/image (CVE-2024-3727)
Fecha de publicación:
14/05/2024
Idioma:
Español
Se encontró una falla en la librería github.com/containers/image. Esta falla permite a los atacantes activar accesos inesperados al registro autenticado en nombre de un usuario víctima, lo que provoca agotamiento de recursos, path traversal local y otros ataques.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2025

Vulnerabilidad en Swift Performance Lite para WordPress (CVE-2024-3722)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Swift Performance Lite para WordPress es vulnerable al acceso no autorizado debido a una falta de verificación de capacidad en la función ajax_handler() en todas las versiones hasta la 2.3.6.18 incluida. Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, recuperen y modifiquen la configuración.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2024

Vulnerabilidad en Enter Addons – Ultimate Template Builder para Elementor para WordPress (CVE-2024-3680)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Enter Addons – Ultimate Template Builder para Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la etiqueta img del widget de título de animación en todas las versiones hasta la 2.1.5 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2025

Vulnerabilidad en The Pure Chat – Live Chat Plugin & More! para WordPress (CVE-2024-3595)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento The Pure Chat – Live Chat Plugin & More! para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro purechatwid y purechatwname en todas las versiones hasta la 2.22 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2024

Vulnerabilidad en UnGallery WordPress (CVE-2024-3582)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento UnGallery WordPress hasta la versión 2.2.4 no tiene verificación CSRF en algunos lugares y le falta sanitización y escape, lo que podría permitir a los atacantes hacer que el administrador registrado agregue payloads XSS almacenado a través de un ataque CSRF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2025

Vulnerabilidad en LetterPress WordPress (CVE-2024-3590)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento LetterPress WordPress hasta la versión 1.2.2 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios que han iniciado sesión realicen acciones no deseadas a través de ataques CSRF, como eliminar suscriptores arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2025

Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2024-3547)
Fecha de publicación:
14/05/2024
Idioma:
Español
El complemento Unlimited Elements For Elementor (widgets, complementos y plantillas gratuitos) para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'google_connect_error' en todas las versiones hasta la 1.5.102 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en Ant Media Server Community Edition (CVE-2024-3462)
Fecha de publicación:
14/05/2024
Idioma:
Español
Ant Media Server Community Edition en una configuración predeterminada es vulnerable a una autorización basada en encabezado HTTP inadecuada, lo que lleva a un posible uso de llamadas API no administrativas reservadas solo para usuarios autorizados. Se cree que todas las versiones hasta la 2.9.0 (probadas) y posiblemente las más nuevas son vulnerables ya que el proveedor no ha confirmado el lanzamiento de un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2024

Vulnerabilidad en KioWare para Windows (CVE-2024-3461)
Fecha de publicación:
14/05/2024
Idioma:
Español
KioWare para Windows (versiones hasta 8.35) permite forzar el número PIN por fuerza bruta, lo que protege la aplicación contra el cierre, ya que no existen mecanismos que impidan que un usuario adivine excesivamente el número.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2025

Vulnerabilidad en KioWare para Windows (CVE-2024-3459)
Fecha de publicación:
14/05/2024
Idioma:
Español
KioWare para Windows (versiones hasta 8.34) permite escapar del entorno descargando archivos PDF, que luego se abren de forma predeterminada en un visor de PDF externo. Al utilizar las funciones integradas de ese visor, es posible iniciar un navegador web, buscar en archivos locales y, posteriormente, iniciar cualquier programa con privilegios de usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2025

Vulnerabilidad en KioWare para Windows (CVE-2024-3460)
Fecha de publicación:
14/05/2024
Idioma:
Español
En KioWare para Windows (versiones hasta 8.34) es posible salir de este software y utilizar otras aplicaciones ya abiertas utilizando un breve período de tiempo antes de que se produzca el cierre de sesión automático forzado. Luego, utilizando alguna función integrada de estas aplicaciones, se pueden iniciar otros programas. Para aprovechar esta vulnerabilidad, las aplicaciones externas deben dejarse en ejecución cuando se inicia el software KioWare. Además, un atacante debe conocer el PIN establecido para esta instancia de Kioware y también ralentizar la aplicación con alguna tarea específica que extienda la ventana de tiempo utilizable.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2025
Suscribirse a Vulnerabilidades