Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Brizy – Page Builder para WordPress (CVE-2024-1937)
Fecha de publicación:
16/07/2024
Idioma:
Español
El complemento Brizy – Page Builder para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función 'update_item' en todas las versiones hasta la 2.4.44 incluida. Esto hace posible que atacantes autenticados, con acceso de colaborador y superiores, modifiquen el contenido de publicaciones arbitrarias, lo que incluye la capacidad de insertar JavaScript malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/01/2025

Vulnerabilidad en WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para WordPress (CVE-2024-2691)
Fecha de publicación:
16/07/2024
Idioma:
Español
El complemento WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado de 'eventos' del complemento en todas las versiones hasta la 3.1.43 incluida debido a una sanitización de entrada insuficiente y salida que se escapa en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/08/2024

Vulnerabilidad en Premium Portfolio Features para el tema Phlox para WordPress (CVE-2024-3587)
Fecha de publicación:
16/07/2024
Idioma:
Español
El complemento Premium Portfolio Features para el tema Phlox para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget Grid Portfolios del complemento en todas las versiones hasta la 2.3.2 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/08/2024

Vulnerabilidad en ESET (CVE-2024-3779)
Fecha de publicación:
16/07/2024
Idioma:
Español
La vulnerabilidad de denegación de servicio presente poco después de la instalación o actualización del producto, potencialmente permitió que un atacante dejara inoperable el producto de seguridad de ESET, siempre que se cumplieran condiciones previas no predeterminadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2024

Vulnerabilidad en streampark-console (CVE-2023-52290)
Fecha de publicación:
16/07/2024
Idioma:
Español
En streampark-console, las páginas de lista (por ejemplo, páginas de aplicaciones), los usuarios pueden ordenar las páginas por campo. Este campo de clasificación se envía desde el front-end al back-end y la consulta SQL se genera utilizando este campo. Sin embargo, debido a que este campo de clasificación no está validado, existe el riesgo de vulnerabilidad de inyección SQL. El atacante debe iniciar sesión con éxito en el sistema para lanzar un ataque, lo que puede provocar una fuga de datos. Dado que no se escribirán datos, esta es una vulnerabilidad de bajo impacto. Mitigación: todos los usuarios deben actualizar a 2.1.4. Dichos parámetros se bloquearán.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2025

Vulnerabilidad en kernel de Linux (CVE-2024-41008)
Fecha de publicación:
16/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: cambiar el manejo de vm->task_info Este parche cambia el manejo y el ciclo de vida del objeto vm->task_info. Los cambios principales son: - vm->task_info ahora es un ptr asignado dinámicamente y su uso se cuenta por referencia. - presentamos dos nuevas funciones auxiliares para la gestión del ciclo de vida de task_info - amdgpu_vm_get_task_info: la referencia cuenta task_info antes de devolver esta información - amdgpu_vm_put_task_info: la referencia cuenta atrás task_info - la última entrada en task_info() libera task_info de la máquina virtual. Este parche también realiza cambios logísticos necesarios para el uso existente de vm->task_info. V2: No bloquear todas las impresiones cuando no se encuentra task_info (Felix) V3: Se corrigieron los comentarios de revisión de Felix - Se corrigió la sangría incorrecta - No hay mensaje de depuración para -ENOMEM - Agregar verificación NULL para task_info - No se duplican los mensajes de depuración (ti vs no ti) - Obtenga la primera referencia de task_info en vm_init(), colóquela última en vm_fini() V4: Se corrigieron los comentarios de revisión de Felix - se corrigió el incremento de doble referencia en create_task_info - se cambió amdgpu_vm_get_task_info_pasid - cambios adicionales en amdgpu_gem.c durante la portabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/10/2025

Vulnerabilidad en Backup, Restore and Migrate WordPress Sites With the XCloner Plugin para WordPress (CVE-2024-6559)
Fecha de publicación:
16/07/2024
Idioma:
Español
El complemento Backup, Restore and Migrate WordPress Sites With the XCloner Plugin para WordPress es vulnerable a la divulgación de ruta completa en todas las versiones hasta la 4.7.3 incluida. Esto se debe al complemento que utiliza saber sin impedir el acceso directo a los archivos. Esto hace posible que atacantes no autenticados recuperen la ruta completa de la aplicación web, que puede usarse para ayudar en otros ataques. La información mostrada no es útil por sí sola y requiere que esté presente otra vulnerabilidad para dañar un sitio web afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2024

Vulnerabilidad en Image Hover Effects – Elementor Addon para WordPress (CVE-2024-4780)
Fecha de publicación:
16/07/2024
Idioma:
Español
El complemento Image Hover Effects – Elementor Addon para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'eihe_link' en todas las versiones hasta la 1.4.3 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2024

Vulnerabilidad en SchedulePress – Auto Post & Publish, Auto Social Share, Schedule Posts with Editorial Calendar & Missed Schedule Post Publisher para WordPress (CVE-2024-6557)
Fecha de publicación:
16/07/2024
Idioma:
Español
El complemento SchedulePress – Auto Post & Publish, Auto Social Share, Schedule Posts with Editorial Calendar & Missed Schedule Post Publisher para WordPress es vulnerable a la divulgación de ruta completa en todas las versiones hasta la 5.1.3 incluida. Esto se debe a que el complemento utiliza la librería wpdeveloper y deja los archivos de demostración en su lugar con display_errors activado. Esto hace posible que atacantes no autenticados recuperen la ruta completa de la aplicación web, que puede usarse para ayudar en otros ataques. La información mostrada no es útil por sí sola y requiere que esté presente otra vulnerabilidad para dañar un sitio web afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2024

Vulnerabilidad en TECNOMobile (CVE-2024-6780)
Fecha de publicación:
16/07/2024
Idioma:
Español
Un control de permisos inadecuado en la aplicación móvil (com.android.server.telecom) puede generar riesgos para la seguridad de la información del usuario.
Gravedad CVSS v3.1: BAJA
Última modificación:
30/10/2024

Vulnerabilidad en xmind2testcase v.1.5 (CVE-2024-40524)
Fecha de publicación:
15/07/2024
Idioma:
Español
La vulnerabilidad de Directory Traversal en xmind2testcase v.1.5 permite a un atacante remoto ejecutar código arbitrario a través del componente webtool\application.py.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/08/2024

Vulnerabilidad en Linkerd (CVE-2024-40632)
Fecha de publicación:
15/07/2024
Idioma:
Español
Linkerd es una malla de servicios de código abierto, ultraligera y que prioriza la seguridad para Kubernetes. En las versiones afectadas, cuando la aplicación que ejecuta Linkerd es susceptible a SSRF, un atacante podría desencadenar un ataque de denegación de servicio (DoS) al realizar solicitudes a localhost:4191/shutdown. Linkerd podría introducir una variable de entorno opcional para controlar un token que debe pasarse como encabezado. Linkerd debería rechazar las solicitudes de cierre que no incluyan este encabezado. Este problema se solucionó en la versión edge-24.6.2 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
16/07/2024
Suscribirse a Vulnerabilidades