Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el área de texto "hotjar script" en el plugin de WordPress de Hotjar Connecticator (CVE-2021-24301)
Fecha de publicación:
24/05/2021
Idioma:
Español
El plugin de WordPress de Hotjar Connecticator versiones hasta 1.1.1 es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) almacenado en el área de texto "hotjar script". La petición incluía un código de tipo CSRF que fue comprobado apropiadamente por el servidor y esta vulnerabilidad solo podía ser explotada por usuarios administradores
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021

Vulnerabilidad en el campo "State" de la página Edit profile del LMS de LifterLMS - Online Course, Membership & Learning Management System Plugin para el plugin de WordPress (CVE-2021-24308)
Fecha de publicación:
24/05/2021
Idioma:
Español
El campo "State" de la página Edit profile del LMS de LifterLMS - Online Course, Membership & Learning Management System Plugin para el plugin de WordPress versiones anteriores a 4.21.1 no es saneado apropiadamente cuando se muestra en la sección About de la página de perfil, conllevando a un problema de tipo cross-site scripting almacenado. Esto podría permitir a usuarios pocos privilegiados (como los estudiantes) escalar sus privilegios por medio de un ataque de tipo XSS cuando un administrador visualiza su perfil
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2021

Vulnerabilidad en el plugin de WordPress Ultimate Member - User Profile, User Registration, Login & Membership Plugin (CVE-2021-24306)
Fecha de publicación:
24/05/2021
Idioma:
Español
El plugin de WordPress Ultimate Member - User Profile, User Registration, Login & Membership Plugin versión anterior a 2.1.20, no saneaba, validaba ni codificaba apropiadamente la cadena de consulta cuando genera un enlace para editar el perfil del usuario, lo que generaba un problema de tipo Cross-Site Scripting reflejado autenticado. Es requerido el conocimiento del nombre de usuario objetivo para explotar esto, y los atacantes tendrían que hacer que el usuario conectado relacionado abra un enlace malicioso
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el host subyacente en la carga de un archivo .ini de respaldo en la sección "Tool ) Import/Export" en All in One SEO – Best WordPress SEO Plugin – Easily Improve Your SEO Rankings (CVE-2021-24307)
Fecha de publicación:
24/05/2021
Idioma:
Español
All in One SEO – Best WordPress SEO Plugin – Easily Improve Your SEO Rankings versiones anteriores a 4.1.0.2 permite a usuarios autenticados con el privilegio "aioseo_tools_settings" (la mayoría de las veces administrador) ejecutar código arbitrario en el host subyacente. Los usuarios pueden restaurar la configuración del plugin al cargar un archivo .ini de respaldo en la sección "Tool ) Import/Export". Sin embargo, el plugin intenta anular la serialización de los valores del archivo .ini. Además, el plugin incorpora la biblioteca Monolog que puede ser usada para diseñar una cadena de dispositivos y, por lo tanto, desencadenar una ejecución de comandos del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en el sistema de archivos en los dispositivos WAGO PFC200 (CVE-2021-21001)
Fecha de publicación:
24/05/2021
Idioma:
Español
En los dispositivos WAGO PFC200 en diferentes versiones de firmware con paquetes especiales diseñados, un atacante autorizado con acceso de red al dispositivo puede acceder al sistema de archivos con mayores privilegios
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/08/2025

Vulnerabilidad en el servicio de inicio de sesión del tiempo de ejecución en dispositivos WAGO PFC200 (CVE-2021-21000)
Fecha de publicación:
24/05/2021
Idioma:
Español
En dispositivos WAGO PFC200 en diferentes versiones de firmware con paquetes especiales diseñados, un atacante con acceso de red al dispositivo podría causar una denegación de servicio para el servicio de inicio de sesión del tiempo de ejecución
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/08/2025

Vulnerabilidad en una vista en línea (CVE-2021-33496)
Fecha de publicación:
24/05/2021
Idioma:
Español
Dutchcoders transfer.sh versiones anteriores a 1.2.4, permite un ataque de tipo XSS por medio de una vista en línea
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2021

Vulnerabilidad en Dutchcoders transfer.sh (CVE-2021-33497)
Fecha de publicación:
24/05/2021
Idioma:
Español
Dutchcoders transfer.sh anterior a 1.2.4 permite un Salto de Directorio para eliminar archivos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2021

Vulnerabilidad en vectores no especificados en la página de administración de [Calendar01] edición gratuita (CVE-2021-20725)
Fecha de publicación:
24/05/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting reflejado en la página de administración de [Calendar01] edición gratuita versión ver1.0.1 y anteriores, permite a un atacante remoto inyectar un script arbitrario por medio de vectores no especificados
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2021

Vulnerabilidad en una DLL en un directorio no especificado en The Installer of Overwolf Dutchcoders (CVE-2021-20726)
Fecha de publicación:
24/05/2021
Idioma:
Español
Una vulnerabilidad de ruta de búsqueda no confiable en The Installer of Overwolf versiones 2.168.0.n y anteriores, permite a un atacante obtener privilegios y ejecutar código arbitrario con el privilegio del usuario que invoca al instalador por medio de una DLL de tipo caballo de Troya en un directorio no especificado
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en vectores no especificados en la página de administración de [Telop01] edición gratuita (CVE-2021-20724)
Fecha de publicación:
24/05/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting reflejado en la página de administración de [Telop01] edición gratuita versión ver1.0.1 y anteriores, permite a un atacante remoto inyectar un script arbitrario por medio de vectores no especificados
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2021

Vulnerabilidad en vectores no especificados en la edición gratuita [MailForm01] (CVE-2021-20723)
Fecha de publicación:
24/05/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting reflejada en la edición gratuita [MailForm01] (versiones cuya última fecha de actualización que figura en la parte superior de las descripciones en el archivo del programa es del 12 de diciembre de 2014 al 27 de julio de 2018) permite a un atacante remoto inyectar un script arbitrario por medio de vectores no especificados
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021
Suscribirse a Vulnerabilidades