Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-14476

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A path traversal flaw was found in SSSD's AD GPO provider. The ad_gpo_extract_smb_components() function does not sanitize .. sequences in the gPCFileSysPath LDAP attribute, allowing an attacker with AD GPO management access to write files outside the GPO cache directory as root. On default RHEL configurations with SELinux enforcing, this can be used to inject Kerberos configuration leading to authentication bypass.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026

CVE-2026-58384

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in GIMP's PSD parser. An integer overflow in read_RLE_channel() can cause an undersized heap allocation for the RLE row-length table, after which subsequent per-row writes corrupt heap memory. This could lead to memory corruption, potentially resulting in denial of service or arbitrary code execution.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026

CVE-2026-13199

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** EEPROM firmware on Raspberry Pi 5 and Compute Module 5 devices produced non-random KASLR and RNG seed values. This resulted in consistent kernel addresses across boots and devices, potentially making it easier to exploit other vulnerabilities. Additionally, the low-quality RNG seed may affect the quality of random numbers or delay booting while sufficient entropy is accumulated from other sources.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-8309

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of input during web page generation (&amp;#39;cross-site scripting&amp;#39;) vulnerability in Armiya Information Technologies Ltd. Co. Access Control System (GKS) allows Reflected XSS.<br /> <br /> This issue affects Access Control System (GKS): before Version 2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2026

CVE-2026-8377

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in Armiya Information Technologies Ltd. Co. Access Control System (GKS) allows Collect Data from Common Resource Locations.<br /> <br /> This issue affects Access Control System (GKS): before Version 2.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026

CVE-2026-5730

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Authorization bypass through User-Controlled key vulnerability in Idvlabs Software and Consulting Services Inc. Ontime allows Exploitation of Trusted Identifiers.<br /> <br /> This issue affects Ontime: through 04052026.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026

CVE-2026-5799

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Authorization bypass through User-Controlled key vulnerability in Idvlabs Software and Consulting Services Inc. Ontime allows Exploitation of Trusted Identifiers.<br /> <br /> This issue affects Ontime: through 04052026.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026

CVE-2026-7380

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of Script-Related HTML tags in a web page (basic XSS) vulnerability in Armiya Information Technologies Ltd. Co. Access Control System (GKS) allows XSS Targeting HTML Attributes.<br /> <br /> This issue affects Access Control System (GKS): before Version 2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2026

CVE-2026-8306

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of input during web page generation (&amp;#39;cross-site scripting&amp;#39;) vulnerability in Armiya Information Technologies Ltd. Co. Access Control System (GKS) allows Stored XSS.<br /> <br /> This issue affects Access Control System (GKS): before Version 2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2026

CVE-2026-57871

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Relative path traversal vulnerability in MicroRealEstate file upload functionality allows attackers to potentially overwrite system files.<br /> <br /> This issue affects MicroRealEstate: through 1.0.0-alpha3.
Gravedad CVSS v4.0: ALTA
Última modificación:
07/07/2026

CVE-2026-58315

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Cross-site request forgery vulnerability exists in SEIKO EPSON Web Config. If a user views a malicious page while logged into Web Config, unintended operations may be performed.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-12375

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The uncanny-automator-pro WordPress plugin before 7.3.0.6 was distributed with malicious code after the vendor&amp;#39;s uncanny-automator-pro WordPress plugin before 7.3.0.6 update/distribution infrastructure was compromised; the injected backdoor grants unauthenticated attackers an administrator session on affected sites and beacons the site&amp;#39;s secret keys and administrator details to attacker-controlled servers.
Gravedad: Pendiente de análisis
Última modificación:
07/07/2026