Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WordPress Lock User Account (CVE-2023-4307)

Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento de WordPress Lock User Account hasta la versión 1.0.3 no tiene verificación CSRF cuando bloquea y desbloquea cuentas de forma masiva, lo que podría permitir a los atacantes hacer que los administradores registrados bloqueen y desbloqueen usuarios arbitrarios a través de un ataque CSRF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en WordPress wpDataTables (CVE-2023-4314)

Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento de WordPress wpDataTables anterior a 2.1.66 no valida los datos de entrada de la "Serialized PHP array" antes de deserializar los datos. Esto permite a los administradores deserializar datos arbitrarios, lo que puede conducir a la ejecución remota de código si hay una cadena de dispositivos adecuada en el servidor. Esto tiene un impacto en entornos donde no se debe permitir que los usuarios administradores ejecuten código arbitrario, como multisitio.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en Herd Effects de WordPress (CVE-2023-4318)

Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento Herd Effects de WordPress anterior a 5.2.4 no tiene CSRF al eliminar sus elementos, lo que podría permitir a los atacantes hacer que los administradores registrados eliminen efectos arbitrarios mediante un ataque CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en Herd Effects de WordPress (CVE-2023-4022)

Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento Herd Effects de WordPress anterior a 5.2.3 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en WP Adminify WordPress (CVE-2023-4060)

Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento WP Adminify WordPress anterior a 3.1.6 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en WordPress MasterStudy LMS WordPress (CVE-2023-4278)

Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento de WordPress MasterStudy LMS WordPress anterior a 3.0.18 no cuenta con controles adecuados durante el registro, lo que permite que cualquiera se registre en el sitio como instructor. Luego pueden agregar cursos y/o publicaciones.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en WordPress Min Max Control (CVE-2023-4270)

Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento de WordPress Min Max Control anterior a 4.6 no sanitiza ni escapa un parámetro antes de devolverlo a la página, conduciendo a un Cross-Site Scripting Reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/05/2025

Vulnerabilidad en URL Shortify de WordPress (CVE-2023-4294)

Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento URL Shortify de WordPress anterior a 1.7.6 no escapa correctamente del valor del encabezado de referencia, lo que permite que un atacante no autenticado inyecte javascript malicioso que se activará en el panel de administración del complemento con estadísticas del enlace creado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/05/2025

Vulnerabilidad en Symfony (CVE-2023-41336)

Fecha de publicación:
11/09/2023
Idioma:
Español
ux-autocomplete es una funcionalidad de Autocompletar de JavaScript para Symfony. En determinadas circunstancias, un atacante podría enviar con éxito una identificación de entidad para un "EntityType" que *no* forma parte de las opciones válidas. El problema se ha solucionado en `symfony/ux-autocomplete` versión 2.11.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/09/2023

Vulnerabilidad en Softneta MedDream PACS (CVE-2023-40150)

Fecha de publicación:
11/09/2023
Idioma:
Español
?El producto afectado no realiza una verificación de autenticación y realiza algunas funciones peligrosas, que podrían resultar en la ejecución remota de código no autenticado.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Schoolmate 1.3 (CVE-2023-40946)

Fecha de publicación:
11/09/2023
Idioma:
Español
Schoolmate 1.3 es vulnerable a la inyección SQL en la variable $username de SESSION en ValidateLogin.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2023

Vulnerabilidad en Sourcecodester Doctor Appointment System 1.0 (CVE-2023-40945)

Fecha de publicación:
11/09/2023
Idioma:
Español
Sourcecodester Doctor Appointment System 1.0 es vulnerable a la inyección SQL en la variable $userid en doctors\myDetails.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2023