Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dynamic Featured Image para WordPress (CVE-2024-6929)
Fecha de publicación:
05/09/2024
Idioma:
Español
El complemento Dynamic Featured Image para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'dfiFeatured' en todas las versiones hasta la 3.7.0 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2024

Vulnerabilidad en RD Station para WordPress (CVE-2024-6894)
Fecha de publicación:
05/09/2024
Idioma:
Español
El complemento RD Station para WordPress es vulnerable a Cross-Site Scripting Almacenado en todas las versiones hasta la 5.3.2 incluida, debido a una desinfección de entrada insuficiente y al escape de salida de los metaboxes de las publicaciones que agrega el complemento. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Booking for Appointments and Events Calendar – Amelia Premium and Lite para WordPress (CVE-2024-6332)
Fecha de publicación:
05/09/2024
Idioma:
Español
Los complementos Booking for Appointments and Events Calendar – Amelia Premium and Lite para WordPress son vulnerables al acceso no autorizado a los datos debido a una falta de verificación de capacidad en la función 'ameliaButtonCommand' en todas las versiones hasta la Premium 7.7 y la Lite 1.2.3 incluida. Esto permite que atacantes no autenticados accedan a los detalles del calendario de los empleados, incluidos los tokens OAuth de Google Calendar en la versión premium.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Share This Image para WordPress (CVE-2024-8363)
Fecha de publicación:
05/09/2024
Idioma:
Español
El complemento Share This Image para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado STI Buttons del complemento en todas las versiones hasta la 2.02 incluida, debido a una desinfección de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2024

Vulnerabilidad en Form Vibes – Database Manager for Forms para WordPress (CVE-2024-5309)
Fecha de publicación:
05/09/2024
Idioma:
Español
El complemento Form Vibes – Database Manager for Forms para WordPress es vulnerable al acceso no autorizado a los datos y a la modificación de los mismos debido a una comprobación de capacidad faltante en las funciones fv_export_csv, reset_settings, save_settings, save_columns_settings, get_analytics_data, get_event_logs_data, delete_submissions y get_submissions en todas las versiones hasta la 1.4.12 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, realicen múltiples acciones no autorizadas. NOTA: Esta vulnerabilidad está parcialmente corregida en la versión 1.4.12.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Acrobat Reader (CVE-2024-45107)
Fecha de publicación:
05/09/2024
Idioma:
Español
Las versiones 20.005.30636, 24.002.20964, 24.001.30123, 24.002.20991 y anteriores de Acrobat Reader se ven afectadas por una vulnerabilidad de tipo Use After Free que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2024

Vulnerabilidad en Ivory Search – WordPress Search Plugin para WordPress (CVE-2024-6835)
Fecha de publicación:
05/09/2024
Idioma:
Español
El complemento Ivory Search – WordPress Search Plugin para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 5.5.6 incluida a través de la función ajax_load_posts. Esto permite que atacantes no autenticados extraigan datos de texto de publicaciones protegidas con contraseña mediante el ataque basado en booleanos en el formulario de búsqueda AJAX.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2024

Vulnerabilidad en ChatGPT de WordPress (CVE-2024-6846)
Fecha de publicación:
05/09/2024
Idioma:
Español
El Chatbot con el complemento ChatGPT de WordPress anterior a la versión 2.4.5 no valida el acceso en algunas rutas REST, lo que permite que un usuario no autenticado elimine los registros de errores y chats.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/05/2025

Vulnerabilidad en bhyve (CVE-2024-32668)
Fecha de publicación:
05/09/2024
Idioma:
Español
Una validación de los límites insuficiente en el código USB podría provocar una escritura fuera de los límites en el montón, con datos controlados por el autor de la llamada. Un software malicioso y privilegiado que se ejecute en una máquina virtual invitada puede aprovechar la vulnerabilidad para lograr la ejecución de código en el host en el proceso de espacio de usuario bhyve, que normalmente se ejecuta como raíz. Tenga en cuenta que bhyve se ejecuta en un entorno aislado de Capsicum, por lo que el código malicioso está limitado por las capacidades disponibles para el proceso bhyve.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2024

Vulnerabilidad en subsolicitud UMTX_SHM_DESTROY de UMTX_OP_SHM (CVE-2024-43102)
Fecha de publicación:
05/09/2024
Idioma:
Español
Las eliminaciones simultáneas de ciertas asignaciones de memoria compartida anónimas mediante la subsolicitud UMTX_SHM_DESTROY de UMTX_OP_SHM pueden provocar que se reduzca el recuento de referencias del objeto que representa la asignación demasiadas veces, lo que hace que se libere demasiado pronto. Un código malicioso que ejecute la subsolicitud UMTX_SHM_DESTROY en paralelo puede provocar un pánico en el núcleo o permitir más ataques de use-after-free, que podrían incluir la ejecución de código o el escape de la zona protegida de Capsicum.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/09/2024

Vulnerabilidad en ctl_report_supported_opcodes (CVE-2024-42416)
Fecha de publicación:
05/09/2024
Idioma:
Español
La función ctl_report_supported_opcodes no validó de manera suficiente un campo proporcionado por el espacio de usuario, lo que permitió una escritura arbitraria en una cantidad limitada de memoria de ayuda del núcleo. El software malintencionado que se ejecuta en una máquina virtual invitada que expone virtio_scsi puede explotar las vulnerabilidades para lograr la ejecución de código en el host en el proceso de espacio de usuario bhyve, que normalmente se ejecuta como raíz. Tenga en cuenta que bhyve se ejecuta en un entorno aislado de Capsicum, por lo que el código malintencionado está limitado por las capacidades disponibles para el proceso bhyve. Un iniciador iSCSI malintencionado podría lograr la ejecución remota de código en el host de destino iSCSI.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en ctl_request_sense (CVE-2024-43110)
Fecha de publicación:
05/09/2024
Idioma:
Español
La función ctl_request_sense podría exponer hasta tres bytes del montón del núcleo al espacio de usuario. El software malintencionado que se ejecuta en una máquina virtual invitada que expone virtio_scsi puede explotar las vulnerabilidades para lograr la ejecución de código en el host en el proceso de espacio de usuario bhyve, que normalmente se ejecuta como raíz. Tenga en cuenta que bhyve se ejecuta en un entorno aislado de Capsicum, por lo que el código malintencionado está limitado por las capacidades disponibles para el proceso bhyve. Un iniciador iSCSI malintencionado podría lograr la ejecución remota de código en el host de destino iSCSI.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025
Suscribirse a Vulnerabilidades