Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-58455

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Dockwatch through 0.6.567 contains an unauthenticated OS command injection vulnerability that allows remote attackers to execute arbitrary shell commands by exploiting a missing exit() after an authentication redirect in loader.php combined with unsanitized input passed to shell_exec() in ajax/compose.php. Attackers can seed the required session flag through the incomplete auth check, then inject arbitrary commands via the composePath POST parameter in the composePull action to achieve full host compromise, facilitated by the standard deployment mounting of the Docker socket.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2026

CVE-2026-44941

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A relative path traversal in the "keyhint" option in repomd.xml parsing of libzypp before 17.38.12 can be used by attackers able to supply a malicious repository to inject or overwrite files in the target system as root.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2026

CVE-2026-8079

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** In Progress Flowmon versions prior to 12.5.9 and 13.0.11, a vulnerability exists whereby an authenticated low-privileged user may craft a request during the PDF generation process that results in operations being performed with the privileges of another user, potentially leading to unauthorized access to sensitive data and unintended modifications to system configuration.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/07/2026

CVE-2026-9272

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** In Progress Flowmon ADS versions prior to 12.5.6 and 13.0.5, a vulnerability exists whereby an adversary who is authenticated as a low-privileged user in the Anomaly Detection System (ADS) may send specially crafted requests that could result in unauthorized access to application data and its modification.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/07/2026

CVE-2026-56841

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A malicious actor with access to the network and low privileges could exploit an authenticated SQL Injection vulnerability found in UniFi Protect Application to escalate privileges on the host device.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-56842

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A malicious actor with access to the network and under certain conditions could exploit an Incorrect Authorization vulnerability found in UniFi Network Application to persist privileges within UniFi Network Application after such access had been removed.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-56004

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A shellcode injection in the mercurial handler of the obs tar_scm source service before version 0.12.4 could be used by attackers able to provide a _service file to execute code as the source service or the local user checking out the malicious services
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2026

CVE-2026-55112

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A malicious actor with access to the network and low privileges and under certain conditions could exploit an Improper Access Control vulnerability found in UniFi OS with UniFi Protect Application to escalate privileges on the host device.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-55113

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A malicious actor with access to the network could exploit a Server-Side Request Forgery (SSRF) vulnerability found in UniFi Talk Application to execute a Denial of Service (DoS) attack and bypass authentication in certain UniFi Talk API endpoints.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-55114

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A malicious actor with access to the network and low privileges could exploit an Improper Access Control vulnerability found in UniFi Network Application to escalate privileges within the UniFi Network Application.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-55115

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A malicious actor with access to the network and low privileges could exploit a Server-Side Request Forgery (SSRF) in UniFi Protect Application to escalate privileges on the host device.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2026

CVE-2026-55116

Fecha de publicación:
02/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A malicious actor with access to the network and under certain network configurations could exploit an Improper Access Control vulnerability found in certain devices running UniFi OS to make unauthorized changes to such UniFi OS devices.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2026