Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WordPress Min Max Control (CVE-2023-4270)
Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento de WordPress Min Max Control anterior a 4.6 no sanitiza ni escapa un parámetro antes de devolverlo a la página, conduciendo a un Cross-Site Scripting Reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/05/2025

Vulnerabilidad en URL Shortify de WordPress (CVE-2023-4294)
Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento URL Shortify de WordPress anterior a 1.7.6 no escapa correctamente del valor del encabezado de referencia, lo que permite que un atacante no autenticado inyecte javascript malicioso que se activará en el panel de administración del complemento con estadísticas del enlace creado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/05/2025

Vulnerabilidad en WordPress MasterStudy LMS WordPress (CVE-2023-4278)
Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento de WordPress MasterStudy LMS WordPress anterior a 3.0.18 no cuenta con controles adecuados durante el registro, lo que permite que cualquiera se registre en el sitio como instructor. Luego pueden agregar cursos y/o publicaciones.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en Symfony (CVE-2023-41336)
Fecha de publicación:
11/09/2023
Idioma:
Español
ux-autocomplete es una funcionalidad de Autocompletar de JavaScript para Symfony. En determinadas circunstancias, un atacante podría enviar con éxito una identificación de entidad para un "EntityType" que *no* forma parte de las opciones válidas. El problema se ha solucionado en `symfony/ux-autocomplete` versión 2.11.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/09/2023

Vulnerabilidad en Softneta MedDream PACS (CVE-2023-40150)
Fecha de publicación:
11/09/2023
Idioma:
Español
?El producto afectado no realiza una verificación de autenticación y realiza algunas funciones peligrosas, que podrían resultar en la ejecución remota de código no autenticado.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Schoolmate 1.3 (CVE-2023-40946)
Fecha de publicación:
11/09/2023
Idioma:
Español
Schoolmate 1.3 es vulnerable a la inyección SQL en la variable $username de SESSION en ValidateLogin.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2023

Vulnerabilidad en Sourcecodester Doctor Appointment System 1.0 (CVE-2023-40945)
Fecha de publicación:
11/09/2023
Idioma:
Español
Sourcecodester Doctor Appointment System 1.0 es vulnerable a la inyección SQL en la variable $userid en doctors\myDetails.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2023

Vulnerabilidad en Schoolmate 1.3 (CVE-2023-40944)
Fecha de publicación:
11/09/2023
Idioma:
Español
Schoolmate 1.3 es vulnerable a la inyección SQL en la variable $schoolname de la base de datos en ~\header.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2023

Vulnerabilidad en FTP Access WordPress (CVE-2023-3510)
Fecha de publicación:
11/09/2023
Idioma:
Español
El complemento FTP Access WordPress hasta la versión 1.0 no tiene autorización ni verificaciones CSRF al actualizar su configuración y le falta sanitización y escape en ellas, lo que permite a cualquier usuario autenticado, como el suscriptor, actualizarlas con payloads XSS, que se activarán cuando un administrador vea la configuración del complemento. El ataque también podría realizarse mediante CSRF contra cualquier usuario autenticado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Softneta MedDream PACS (CVE-2023-39227)
Fecha de publicación:
11/09/2023
Idioma:
Español
?Softneta MedDream PACS almacena nombres de usuario y contraseñas en texto plano. Los atacantes podrían abusar del almacenamiento de texto plano para filtrar las credenciales de usuarios legítimos.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en MAGLINK LX Web Console Configuration (CVE-2023-38256)
Fecha de publicación:
11/09/2023
Idioma:
Español
Dover Fueling Solutions MAGLINK LX Web Console Versiones de configuración 2.5.1, 2.5.2, 2.5.3, 2.6.1, 2.11, 3.0, 3.2 y 3.3 vulnerables a un ataque de path traversal, que podría permitir a un atacante acceder a archivos almacenados en el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/09/2023

Vulnerabilidad en MAGLINK LX Web Console Configuration (CVE-2023-36497)
Fecha de publicación:
11/09/2023
Idioma:
Español
Las versiones de configuración de la consola web MAGLINK LX de Dover Fueling Solutions 2.5.1, 2.5.2, 2.5.3, 2.6.1, 2.11, 3.0, 3.2 y 3.3 podrían permitir que un usuario invitado eleve a privilegios de administrador.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/10/2024
Suscribirse a Vulnerabilidades