Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-39494)
Fecha de publicación:
12/07/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: ima: corrige el use-after-free en dentry dname.name ->d_name.name puede cambiar al cambiar el nombre y el valor anterior se puede liberar; existen condiciones suficientes para estabilizarlo (->d_lock on dentry, ->d_lock on its parent, ->i_rwsem exclusivo en el inodo del padre, rename_lock), pero ninguna de ellas se cumple en ninguno de los sitios. En su lugar, tome una instantánea estable del nombre.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/01/2026

Vulnerabilidad en kernel de Linux (CVE-2024-39496)
Fecha de publicación:
12/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs:zoned: corrige el use-after-free debido a la ejecución con el reemplazo de desarrollo. Mientras cargamos la información de una zona durante la creación de un grupo de bloques, podemos ejecutar una operación de reemplazo de dispositivo y luego activar un use-after-free en el dispositivo que acaba de ser reemplazado (dispositivo fuente de la operación de reemplazo). Esto sucede porque en btrfs_load_zone_info() extraemos un dispositivo del mapa de fragmentos en una variable local y luego usamos el dispositivo mientras no está bajo la protección del dispositivo y reemplazamos rwsem. Entonces, si se produce una operación de reemplazo de dispositivo cuando extraemos el dispositivo y ese dispositivo es la fuente de la operación de reemplazo, activaremos un use-after-free si antes de terminar de usar el dispositivo la operación de reemplazo finaliza y libera el dispositivo. Solucione este problema ampliando la sección crítica bajo la protección del dispositivo y reemplace rwsem para que todos los usos del dispositivo se realicen dentro de la sección crítica.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/01/2026

Vulnerabilidad en XSLTResourceStream.java (CVE-2024-36522)
Fecha de publicación:
12/07/2024
Idioma:
Español
La configuración predeterminada de XSLTResourceStream.java es vulnerable a la ejecución remota de código mediante inyección XSLT cuando se procesa entrada de una fuente que no es de confianza sin validación. Se recomienda a los usuarios actualizar a las versiones 10.1.0, 9.18.0 u 8.16.0, que solucionan este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/07/2025

Vulnerabilidad en MStore API – Create Native Android & iOS Apps On The Cloud para WordPress (CVE-2024-6328)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento MStore API – Create Native Android & iOS Apps On The Cloud para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta la 4.14.7 incluida. Esto se debe a una verificación insuficiente del parámetro 'phone' de las funciones 'firebase_sms_login' y 'firebase_sms_login_v2'. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso a la dirección de correo electrónico o al número de teléfono. Además, si se proporciona una nueva dirección de correo electrónico, se crea una nueva cuenta de usuario con la función predeterminada, incluso si el registro está deshabilitado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2025

Vulnerabilidad en Wallet for WooCommerce para WordPress (CVE-2024-6353)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento Wallet for WooCommerce para WordPress es vulnerable a la inyección SQL a través del parámetro 'search[value]' en todas las versiones hasta la 1.5.4 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en el existente. Consulta SQL. Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2025

Vulnerabilidad en WP Total Branding – Complete branding solution para WordPress (CVE-2024-6625)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento WP Total Branding – Complete branding solution para WordPress es vulnerable a Cross Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta la 1.2 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2024

Vulnerabilidad en PowerPress Podcasting plugin by Blubrry para WordPress (CVE-2024-6588)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento PowerPress Podcasting plugin by Blubrry para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'media_url' en todas las versiones hasta la 11.9.10 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2024

Vulnerabilidad en ContentLock para WordPress (CVE-2024-6023)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento ContentLock para WordPress hasta la versión 1.0.3 no tiene activada la verificación CSRF al agregar correos electrónicos, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión realice dicha acción a través de un ataque CSRF.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/08/2024

Vulnerabilidad en ContentLock para WordPress (CVE-2024-6024)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento ContentLock para WordPress hasta la versión 1.0.3 no tiene activada la verificación CSRF al eliminar grupos o correos electrónicos, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los elimine mediante un ataque CSRF.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/05/2025

Vulnerabilidad en WP Popups – WordPress Popup Builder para WordPress (CVE-2024-6555)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento WP Popups – WordPress Popup Builder para WordPress es vulnerable a la divulgación de ruta completa en todas las versiones hasta la 2.2.0.1 incluida. Esto se debe al complemento que utiliza mobiledetect sin impedir el acceso directo a los archivos. Esto hace posible que atacantes no autenticados recuperen la ruta completa de la aplicación web, que puede usarse para ayudar en otros ataques. La información mostrada no es útil por sí sola y requiere que esté presente otra vulnerabilidad para dañar un sitio web afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2024

Vulnerabilidad en WP Secure Maintenance para WordPress (CVE-2024-4753)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento de WordPress WP Secure Maintenance anterior a 1.7 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/08/2024

Vulnerabilidad en Inline Related Posts para WordPress (CVE-2024-5626)
Fecha de publicación:
12/07/2024
Idioma:
Español
El complemento Inline Related Posts para WordPress anterior a 3.7.0 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross Site Scripting reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/08/2024
Suscribirse a Vulnerabilidades