Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-57255

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The application opens a PDF containing an abnormal color space whose attributes reference a valid but semantically malformed function. The function's output is not validated; when subsequently read, it produces an illegal pointer that accesses an out-of-bounds region, crashing the application.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-57256

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** When the application opens a PDF and executes JavaScript, it performs abnormal operations on the list box field, and this operation is repeated after the form is reset. During this process, the application failed to adequately verify the validity of the form objects and their internal dictionary pointers, resulting in accessing internal members of invalid or improperly initialized fields. This led to an illegal pointer read, ultimately causing the application to crash.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-57257

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** During the PRC parsing stage, there is a lack of boundary verification for the PRC entity index, which leads to an out-of-bounds read of the entity array. As a result, the application crashes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-57241

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The application opens the PDF, and JavaScript performs operations on the page and the document, causing the page-related objects within the application to lose synchronization; however, the renderer still trusts the outdated page count, and eventually the application crashes due to out-of-bounds access.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-57242

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The application opens the PDF, and JavaScript modifies the form. However, the related objects on the page lack complete lifecycle management and null value validation; when the page state changes, the application continuously dereferences invalid objects, eventually leading to a crash.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-57243

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** During the process of page opening and form formatting, a JavaScript reentrancy results in an inconsistent document status. Subsequently, with outdated page information, the application attempts to access invalid addresses, causing the application to crash.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-57244

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** After JavaScript resetting the form, the synchronization process lacks re-entry protection and object lifecycle verification, resulting in the failure of the control pointer during the traversal process. After the pointer fails, it still continues to dereference, causing the application to crash.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-57245

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** When the application opens a PDF, traverses and builds the annotation elements related to hyperlinks, it fails to validate the abnormal annotation relationships and field combinations. This results in the internal objects entering an invalid state. Eventually, during the destruction phase, an invalid pointer write occurred, causing the application to crash.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-57246

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** When dealing with abnormally constructed objects, there is a lack of argument validation; JavaScript triggers signature verification, but the signature plugin does not perform validation when copying the abnormal string, causing the application to crash.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-57247

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The application re-enters the document structure via field processing and deletes the current page, and then continues using the field objects obtained before deletion, triggering an illegal read and crashing.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-57248

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** When the application opens a PDF file and JavaScript writes annotation attributes, there is a lack of sufficient object type and argument checks. As a result, due to the damage to the internal structure of the annotations, it causes the application to crash during subsequent release.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-57249

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** After the application opened the PDF file, the script first reset the annotation status, then triggered the reset form event by additional action. During the re-entry process, the application access invalid objects and crashed.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026