Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo wpadmin/admin.php?Page=c4p-main en el parámetro page en el plugin Custom 404 Pro para WordPress (CVE-2019-14789)
Fecha de publicación:
15/08/2019
Idioma:
Español
El plugin Custom 404 Pro versión 3.2.8 para WordPress, presenta una vulnerabilidad de tipo XSS por medio del parámetro page del archivo wpadmin/admin.php?Page=c4p-main .
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2023

Vulnerabilidad en Evolution CMS (CVE-2019-14518)
Fecha de publicación:
15/08/2019
Idioma:
Español
** EN DISPUTA ** Evolution CMS 2.0.x permite XSS a través de una descripción y una nueva ubicación de categoría en una plantilla. NOTA: el proveedor indica que el comportamiento es consistente con la "política de acceso en el panel de administración"
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2024

Vulnerabilidad en el plugin "CP Contact Form with PayPal" para WordPress (CVE-2019-14784)
Fecha de publicación:
15/08/2019
Idioma:
Español
El plugin "CP Contact Form with PayPal" versiones anteriores a 1.2.98 para WordPress, presenta una vulnerabilidad de tipo XSS en la edición de CSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2019

Vulnerabilidad en el archivo includes/payments/class-payments-query.php en el plugin Impress GiveWP Give para WordPress (CVE-2019-13578)
Fecha de publicación:
15/08/2019
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en el plugin Impress GiveWP Give versiones hasta 2.5.0 para WordPress. La explotación con éxito de esta vulnerabilidad permitiría a un atacante remoto ejecutar comandos SQL arbitrarios en el sistema afectado por medio del archivo includes/payments/class-payments-query.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/02/2023

Vulnerabilidad en sistema enrutador de usuario en el producto ZTE ZXHN F670 (CVE-2019-3417)
Fecha de publicación:
15/08/2019
Idioma:
Español
Todas las versiones hasta V1.1.10P3T18 del producto ZTE ZXHN F670, están afectadas por una vulnerabilidad de inyección de comandos. Debido a la verificación de comprobación de parámetros insuficiente, un usuario autorizado puede explotar esta vulnerabilidad para tomar el control del sistema enrutador de usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/03/2023

Vulnerabilidad en ZTE ZXHN F670 (CVE-2019-3418)
Fecha de publicación:
15/08/2019
Idioma:
Español
Todas las versiones hasta V1.1.10P3T18 del producto ZTE ZXHN F670, están afectadas por una vulnerabilidad de tipo cross-site scripting (XSS). Debido a una comprobación de entrada incompleta, un usuario autorizado puede explotar esta vulnerabilidad para ejecutar scripts maliciosos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/03/2023

Vulnerabilidad en el panel de administración de OpenCart (CVE-2019-15081)
Fecha de publicación:
15/08/2019
Idioma:
Español
OpenCart versiones 3.x, cuando el atacante tiene acceso de inicio de sesión hacia el panel de administración, permite un ataque de tipo XSS almacenado dentro de la funcionalidad de edición de Source/HTML de las páginas Categories, Product, e Information.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/03/2023

Vulnerabilidad en el archivo wp-admin/admin-post.php?Page=fvplayer&fv-email-export=1 URI en el plugin FV Flowplayer Video Player para WordPress (CVE-2019-14800)
Fecha de publicación:
15/08/2019
Idioma:
Español
El plugin FV Flowplayer Video Player versiones anteriores a 7.3.15.727 para WordPress, permite a invitados obtener la lista de suscripción de correo electrónico en formato CSV por medio del URI wp-admin/admin-post.php?Page=fvplayer&fv-email-export=1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2019

Vulnerabilidad en el archivo wp-admin/admin-ajax.php?Action=update_title_options en el parámetro isAutoSaveValveChecked o isDisableAllPagesValveChecked en el plugin toggle-the-title para WordPress (CVE-2019-14795)
Fecha de publicación:
15/08/2019
Idioma:
Español
El plugin toggle-the-title (también se conoce como Toggle The Title) versión 1.4 para WordPress, presenta una vulnerabilidad de tipo XSS por medio del parámetro isAutoSaveValveChecked o isDisableAllPagesValveChecked del archivo wp-admin/admin-ajax.php?Action=update_title_options.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2019

Vulnerabilidad en el archivo wp-admin/admin-ajax.php?Action=grsGalleryAjax&grsAction=shortcode en el parámetro task en el plugin limb-gallery para WordPress (CVE-2019-14790)
Fecha de publicación:
15/08/2019
Idioma:
Español
El plugin limb-gallery (también se conoce como Limb Gallery) versión 1.4.0 para WordPress, presenta una vulnerabilidad de tipo XSS por medio del parámetro task en el archivo wp-admin/admin-ajax.php?Action=grsGalleryAjax&grsAction=shortcode.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2019

Vulnerabilidad en la funcionalidad de carga de fotos del perfil en Leaf Admin (CVE-2019-14755)
Fecha de publicación:
15/08/2019
Idioma:
Español
La funcionalidad de carga de fotos del perfil en Leaf Admin versión 61.9.0212.10, permite la Carga Sin Restricciones de un Archivo con un Tipo Peligroso.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2019

Vulnerabilidad en página de configuración Linked Files en Dolibarr (CVE-2019-15062)
Fecha de publicación:
14/08/2019
Idioma:
Español
Se descubrió un problema en Dolibarr versión 11.0.0-alpha. Un usuario puede almacenar un elemento IFRAME (que contiene una petición de tipo CSRF del archivo user/card.php) en su página de configuración Linked Files. Cuando es visitada por el administrador, este podría tomar el control completamente de la cuenta de administrador. (El mecanismo de protección para CSRF es comprobar el encabezado Referer; sin embargo, debido a que el ataque proviene de una de las páginas de configuración de la aplicación, este mecanismo es omitido).
Gravedad CVSS v3.1: ALTA
Última modificación:
17/11/2022
Suscribirse a Vulnerabilidades