Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-59891

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** sigstore-js provides JavaScript libraries for interacting with Sigstore services. Prior to 0.7.1, getRegistryCredentials() reads credentials from the Docker config file and selects an entry by checking whether any configured auth key contains the target registry string. Because this is a substring match rather than an exact host match, credentials configured for one registry can be selected for and transmitted to a different registry whose hostname has a substring relationship with a configured auth key. This issue is fixed in version 0.7.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/07/2026

CVE-2026-59888

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.15.0 until 2.18.8, 2.21.4, and 3.1.4, Java Records using a PropertyNamingStrategy can bypass @JsonIgnore because POJOPropertiesCollector._removeUnwantedIgnorals() records an ignored component under its original implicit name before _renameUsing() applies the naming strategy, allowing the renamed JSON key to be assigned to the Record constructor parameter. This issue is fixed in versions 2.18.8, 2.21.4, and 3.1.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2026

CVE-2026-59197

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Pillow is a Python imaging library. Prior to 12.3.0, Pillow's public rank-filter API can trigger a native heap out-of-bounds write when given a very large odd filter size because ImageFilter.RankFilter.filter() calls image.expand(size // 2, size // 2) before rank-filter size validation and ImagingExpand() computes output dimensions with unchecked signed int arithmetic. This issue is fixed in version 12.3.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2026

CVE-2026-59884

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** pyasn1 is a generic ASN.1 library for Python. Prior to 0.6.4, the BER decoder shared by the CER and DER codecs parses long-form tags by accumulating continuation octets without an upper bound on the tag ID size, allowing a crafted input to force construction of an arbitrarily large integer with CPU cost growing quadratically and to trigger unhandled ValueError exceptions in Python 3.11+ error formatting paths. Any application decoding untrusted BER, CER, or DER input is affected. This issue is fixed in version 0.6.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2026

CVE-2026-59885

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** pyasn1 is a generic ASN.1 library for Python. Prior to 0.6.4, the BER, CER, and DER decoders process OBJECT IDENTIFIER and RELATIVE-OID values in quadratic time relative to the number of arcs, so a small crafted payload containing an OID with many arcs consumes excessive CPU per decode() call and can deny service to applications that decode untrusted ASN.1 data. The corresponding encoders have the same quadratic behavior when an application re-encodes previously decoded attacker-supplied values. This issue is fixed in version 0.6.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2026

CVE-2026-54432

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Roundcube Webmail before 1.6.17 and 1.7.x before 1.7.2 allows Stored Cross-Site Scripting (XSS). The issue occurs because the attachment MIME type is not properly escaped on the attachment-validation warning page.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2026

CVE-2026-54433

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** In Roundcube Webmail before 1.6.17 and 1.7.x before 1.7.2, there is Stored Cross-Site Scripting (XSS) via a crafted plain-text email message. The attacker-controlled JavaScript executes within the victim's authenticated session simply by opening or previewing the message (zero-click).
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2026

CVE-2026-54058

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Pillow is a Python imaging library. Prior to 12.3.0, when Pillow loads an uncompressed McIdas AREA image from a filename through the mmap raw codec path, attacker-controlled header words can set a row stride smaller than the natural row width, causing pixel access such as Image.tobytes(), getpixel, convert, or save to read beyond the mapped region and disclose adjacent process memory or fault. This issue is fixed in version 12.3.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/07/2026

CVE-2026-36214

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** osTicket versions from 1.10 up to 1.17.7 and from 1.18.0 up to 1.18.3 are vulnerable to a stored XSS due to a vulnerable Bootstrap Tooltip component and insufficient HTML sanitization, allowing remote attackers to execute arbitrary JavaScript in Agent or Admin sessions.
Gravedad: Pendiente de análisis
Última modificación:
14/07/2026

CVE-2026-14645

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Nexus Repository 3 does not validate the destination of the "Webhook: Global" capability's configured URL before making an outbound HTTP request, allowing a user holding the Capability Administration permission to cause the server to send requests to internal network locations (Server-Side Request Forgery). This permission is granted by role assignment, independent of authentication status, so an unauthenticated user could also trigger this behavior if the anonymous role has been granted the permission.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/07/2026

CVE-2026-14646

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Nexus Repository 3 did not apply its existing Server-Side Request Forgery (SSRF) protections to HTTP redirect targets returned by proxy repository upstream servers. Any user with read access to a proxy repository backed by an attacker-controlled or compromised upstream server — including an anonymous user, if anonymous access is enabled — could receive a response from an internal network address or cloud metadata endpoint as repository content, potentially exposing sensitive information such as cloud IAM credentials.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/07/2026

CVE-2026-15427

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An OS command<br /> injection vulnerability exists in the TR-069 / CWMP management interface of Archer VX1800v v1 due to insufficient input validation and sanitization of<br /> parameters, allowing crafted input to be executed as system-level commands.<br /> Exploitation requires specific conditions such as TR-069 being enabled and ability<br /> to influence ACS-delivered commands, compromise or control an ACS server.<br /> <br /> <br /> <br /> <br /> <br /> Successful<br /> exploitation may allow arbitrary command execution with root privileges,<br /> resulting in complete compromise of the device.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/07/2026