Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WP Job Portal de WordPress (CVE-2023-4490)
Fecha de publicación:
25/09/2023
Idioma:
Español
El complemento WP Job Portal de WordPress anterior a 2.0.6 no sanitiza ni escapa un parámetro antes de usarlo en una declaración SQL, lo que genera una inyección de SQL explotable por usuarios no autenticados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2025

Vulnerabilidad en WordPress (CVE-2023-4502)
Fecha de publicación:
25/09/2023
Idioma:
Español
El complemento Translate WordPress con GTranslate WordPress anterior a 3.0.4 no sanitiza y escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de cross site scripting almacenados incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, configuración en multisitio). Esta vulnerabilidad afecta a múltiples parámetros.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/05/2025

Vulnerabilidad en WordPress (CVE-2023-4521)
Fecha de publicación:
25/09/2023
Idioma:
Español
El complemento de WordPress Import XML and RSS Feeds anterior a 2.1.5 contiene un shell web que permite a atacantes no autenticados realizar RCE. El complemento/proveedor no se vio comprometido y los archivos son el resultado de ejecutar una PoC para un problema informado anteriormente (https://wpscan.com/vulnerability/d4220025-2272-4d5f-9703-4b2ac4a51c42) y no eliminar los archivos creados cuando lanzando la nueva versión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2025

Vulnerabilidad en WordPress (CVE-2023-4549)
Fecha de publicación:
25/09/2023
Idioma:
Español
El complemento DoLogin Security para WordPress anterior a 3.7 no sanitiza adecuadamente las direcciones IP provenientes del encabezado X-Forwarded-For, que los atacantes pueden utilizar para realizar ataques XSS almacenados a través del formulario de inicio de sesión de WordPress.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en WordPress (CVE-2023-4631)
Fecha de publicación:
25/09/2023
Idioma:
Español
El complemento DoLogin Security de WordPress anterior a 3.7 utiliza encabezados como X-Forwarded-For para recuperar la dirección IP de la solicitud, lo que podría provocar una suplantación de IP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en Teedy v1.11 (CVE-2023-4892)
Fecha de publicación:
25/09/2023
Idioma:
Español
Teedy v1.11 tiene una vulnerabilidad en su editor de texto que permite ejecutar eventos en etiquetas HTML que un atacante podría manipular. Gracias a esto, es posible ejecutar JavaScript malicioso en la aplicación web.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2023

Vulnerabilidad en GNU C (CVE-2023-5156)
Fecha de publicación:
25/09/2023
Idioma:
Español
Se encontró una falla en la librería GNU C. Una solución reciente para CVE-2023-4806 introdujo la posibilidad de una pérdida de memoria, lo que puede provocar un bloqueo de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2024

Vulnerabilidad en vringh_kiov_advance (CVE-2023-5158)
Fecha de publicación:
25/09/2023
Idioma:
Español
Se encontró una falla en vringh_kiov_advance en drivers/vhost/vringh.c en el lado del host de un virtio ring en el kernel de Linux. Este problema puede provocar una denegación de servicio del huésped al anfitrión a través de un descriptor de longitud cero.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Docker Desktop (CVE-2023-5165)
Fecha de publicación:
25/09/2023
Idioma:
Español
Docker Desktop anterior a 4.23.0 permite a un usuario sin privilegios evitar las restricciones de Enhanced Container Isolation (ECI) a través del shell de depuración, al que permanece accesible durante un breve período de tiempo después de iniciar Docker Desktop. La funcionalidad afectada está disponible solo para clientes de Docker Business y asume un entorno donde los usuarios no reciben privilegios de administrador o root local. Este problema se solucionó en Docker Desktop 4.23.0. Versiones de Docker Desktop afectadas: desde 4.13.0 anterior a 4.23.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2023

Vulnerabilidad en Docker Desktop (CVE-2023-5166)
Fecha de publicación:
25/09/2023
Idioma:
Español
Docker Desktop anterior a 4.23.0 permite el robo de tokens de acceso a través de una URL de icono de extensión manipulada. Este problema afecta a Docker Desktop: versiones anteriores a 4.23.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2023

Vulnerabilidad en WordPress (CVE-2023-3226)
Fecha de publicación:
25/09/2023
Idioma:
Español
El complemento Popup Builder de WordPress hasta la versión 4.1.15 no sanitiza y escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de cross site scripnting almacenados incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/12/2023

Vulnerabilidad en WordPress (CVE-2023-3547)
Fecha de publicación:
25/09/2023
Idioma:
Español
El complemento de WordPress All in One B2B para WooCommerce hasta la versión 1.0.3 no verifica correctamente los valores nonce en varias acciones, lo que permite a un atacante realizar ataques CSRF.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025
Suscribirse a Vulnerabilidades