Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Justice AV Solutions Viewer Setup (CVE-2024-4978)
Fecha de publicación:
23/05/2024
Idioma:
Español
Justice AV Solutions Viewer Setup 8.3.7.250-1 contiene un binario malicioso cuando se ejecuta y está firmado con una firma de código de autenticación inesperada. Un actor de amenazas remoto y privilegiado puede aprovechar esta vulnerabilidad para ejecutar comandos de PowerShell no autorizados.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/10/2025

Vulnerabilidad en EnvaySoft FleetCart (CVE-2024-5230)
Fecha de publicación:
23/05/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en EnvaySoft FleetCart hasta 4.1.1 y clasificada como problemática. Una funcionalidad desconocida es afectada por esta vulnerabilidad. La manipulación del argumento razorpayKeyId conduce a la divulgación de información. El ataque se puede lanzar de forma remota. Se recomienda actualizar el componente afectado. A esta vulnerabilidad se le asignó el identificador VDB-265981.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2024

Vulnerabilidad en iframe para WordPress (CVE-2023-6844)
Fecha de publicación:
23/05/2024
Idioma:
Español
El complemento iframe para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos del complemento en todas las versiones hasta la 5.0 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2024

Vulnerabilidad en WPCafe – Restaurant Menu, Online Ordering for WooCommerce, Pickup / Delivery and Table Reservation para WordPress (CVE-2024-1855)
Fecha de publicación:
23/05/2024
Idioma:
Español
El complemento WPCafe – Restaurant Menu, Online Ordering for WooCommerce, Pickup / Delivery and Table Reservation para WordPress es vulnerable a la Server-Side Request Forgery en todas las versiones hasta la 2.2.23 incluida a través de la función wpc_check_for_submission. Esto hace posible que atacantes no autenticados realicen solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2025

Vulnerabilidad en PayPal Pay Now, Buy Now, Donation and Cart Buttons Shortcode para WordPress (CVE-2024-3065)
Fecha de publicación:
23/05/2024
Idioma:
Español
El complemento PayPal Pay Now, Buy Now, Donation and Cart Buttons Shortcode para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta la 1.7 incluida debido a una sanitización de entrada insuficiente y un escape de salida. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2024

Vulnerabilidad en WP DSGVO Tools (GDPR) para WordPress (CVE-2024-3201)
Fecha de publicación:
23/05/2024
Idioma:
Español
El complemento WP DSGVO Tools (GDPR) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto 'pp_link' del complemento en todas las versiones hasta la 3.1.32 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2024

Vulnerabilidad en Awesome Contact Form7 para Elementor para WordPress (CVE-2024-4486)
Fecha de publicación:
23/05/2024
Idioma:
Español
El complemento Awesome Contact Form7 para Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget 'AEP Contact Form 7' en todas las versiones hasta la 2.9 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2024

Vulnerabilidad en lighttpd (CVE-2024-3708)
Fecha de publicación:
23/05/2024
Idioma:
Español
Existe una condición en la versión de lighttpd anterior a la 1.4.51 por la cual un atacante remoto puede crear una solicitud http que podría dar como resultado múltiples resultados: 1.) hacer que lighttpd acceda a la memoria liberada, en cuyo caso el proceso en el que se ejecuta lighttpd podría terminarse u otro podría producirse un comportamiento no determinista 2.) podría producirse un evento de divulgación de información de la memoria que podría usarse para determinar el estado de la memoria y luego podría usarse para eludir teóricamente las protecciones ALSR. Este CVE se actualizará con más detalles el 9 de julio de 2024 después las partes afectadas han tenido tiempo de remediar.
Gravedad: Pendiente de análisis
Última modificación:
09/07/2024

Vulnerabilidad en Veeam Backup Enterprise Manager (CVE-2024-29851)
Fecha de publicación:
22/05/2024
Idioma:
Español
Veeam Backup Enterprise Manager permite a los usuarios con altos privilegios robar el hash NTLM de la cuenta de servicio de Enterprise Manager.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2025

Vulnerabilidad en Veeam Backup Enterprise Manager (CVE-2024-29852)
Fecha de publicación:
22/05/2024
Idioma:
Español
Veeam Backup Enterprise Manager permite a los usuarios con altos privilegios leer registros de sesiones de respaldo.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/07/2025

Vulnerabilidad en Veeam Agent para Microsoft Windows (CVE-2024-29853)
Fecha de publicación:
22/05/2024
Idioma:
Español
Una vulnerabilidad de omisión de autenticación en Veeam Agent para Microsoft Windows permite la escalada de privilegios locales.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2025

Vulnerabilidad en EPMM (CVE-2023-46806)
Fecha de publicación:
22/05/2024
Idioma:
Español
Una vulnerabilidad de inyección SQL en un componente web de versiones EPMM anteriores a 12.1.0.0 permite a un usuario autenticado con el privilegio adecuado acceder o modificar datos en la base de datos subyacente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/06/2025
Suscribirse a Vulnerabilidades