Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-36015)
Fecha de publicación:
29/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ppdev: agregue una verificación de errores en Register_device. En Register_device, el valor de retorno de ida_simple_get no está marcado, por lo que ida_simple_get usará un valor de índice no válido. Para solucionar este problema, se debe verificar el índice después de ida_simple_get. Cuando el valor del índice es anormal, se debe imprimir un mensaje de advertencia, se debe descartar el puerto y se debe registrar el valor.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-36014)
Fecha de publicación:
29/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/arm/malidp: corrige una posible desreferencia del puntero nulo En malidp_mw_connector_reset, se asigna nueva memoria con kzalloc, pero no se realiza ninguna verificación. Para evitar la desreferenciación del puntero nulo, asegúrese de que mw_state esté marcado antes de llamar a __drm_atomic_helper_connector_reset.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Site Reviews de WordPress (CVE-2024-3050)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento Site Reviews de WordPress anterior a 7.0.0 recupera direcciones IP de clientes de encabezados potencialmente no confiables, lo que permite a un atacante manipular su valor. Esto puede usarse para evitar el bloqueo basado en IP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2025

Vulnerabilidad en Gianism WordPress (CVE-2024-3921)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento Gianism WordPress hasta la versión 5.1.0 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en Playlist for Youtube de WordPress (CVE-2024-3937)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento Playlist for Youtube de WordPress hasta la versión 1.32 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en Fetch JFT para WordPress (CVE-2024-4419)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento Fetch JFT para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta la 1.8.3 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2023-6743)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento Unlimited Elements For Elementor (widgets, complementos y plantillas gratuitos) para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta la 1.5.89 incluida a través de la función de importación de plantillas. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, ejecuten código en el servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2025

Vulnerabilidad en mysql2 (CVE-2024-21512)
Fecha de publicación:
29/05/2024
Idioma:
Español
Las versiones del paquete mysql2 anteriores a la 3.9.8 son vulnerables a la contaminación de prototipos debido a una sanitización inadecuada de las entradas del usuario pasadas a campos y tablas cuando se utilizan nestTables.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/06/2024

Vulnerabilidad en AppPresser para WordPress (CVE-2024-4611)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento AppPresser para WordPress es vulnerable a un manejo inadecuado de excepciones de cifrado faltantes en las funciones 'decrypt_value' y 'doCookieAuth' en todas las versiones hasta la 4.3.2 incluida. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si previamente utilizaron el inicio de sesión a través de la API del complemento. Esto sólo puede explotarse si la extensión PHP 'openssl' no está cargada en el servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/06/2025

Vulnerabilidad en The WordPress Tour & Travel Booking Plugin for WooCommerce – WpTravelly para WordPress (CVE-2024-0434)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento The WordPress Tour & Travel Booking Plugin for WooCommerce – WpTravelly para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función 'ttbm_new_place_save' en todas las versiones hasta la 1.7.1 incluida. Esto hace posible que atacantes no autenticados creen y publiquen nuevas publicaciones en lugares. Esta función también es vulnerable a CSRF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2024

Vulnerabilidad en The Login with phone number para WordPress (CVE-2024-5150)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento The Login with phone number para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 1.7.26 incluida. Esto se debe a que el valor predeterminado 'activation_code' está vacío y falta la verificación de no vacío en la función 'lwp_ajax_register'. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico del usuario. La vulnerabilidad se parcheó en la versión 1.7.26, pero hay un problema en el parche que hace que toda la función no funcione, y este problema se solucionó en la versión 1.7.27.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/05/2024

Vulnerabilidad en Swiss Toolkit For WP para WordPress (CVE-2024-5204)
Fecha de publicación:
29/05/2024
Idioma:
Español
El complemento Swiss Toolkit For WP para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 1.0.7 incluida. Esto se debe a que el complemento almacena datos personalizados en metadatos de publicación sin un prefijo de guión bajo. Esto hace posible que los atacantes autenticados con permisos de nivel de colaborador y superiores inicien sesión como cualquier usuario existente en el sitio, como un administrador.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/05/2024
Suscribirse a Vulnerabilidades