Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-7740

Fecha de publicación:

04/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A security vulnerability has been detected in justdan96 tsMuxer up to 2.7.0. This issue affects the function VvcVpsUnit::setFPS of the file tsMuxer/vvc.cpp. Such manipulation of the argument track_id leads to denial of service. An attack has to be approached locally. The exploit has been disclosed publicly and may be used. This vulnerability only affects products that are no longer supported by the maintainer.

Gravedad CVSS v4.0: BAJA

Última modificación:

04/05/2026

CVE-2026-43863

Fecha de publicación:

04/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** mutt before 2.3.2 has an infinite loop in data_object_to_stream in crypt-gpgme.c.

Gravedad CVSS v3.1: BAJA

Última modificación:

04/05/2026

CVE-2026-43864

Fecha de publicación:

04/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** mutt before 2.3.2 has a show_sig_summary NULL pointer dereference.

Gravedad CVSS v3.1: BAJA

Última modificación:

04/05/2026

CVE-2026-7736

Fecha de publicación:

04/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was determined in osrg GoBGP up to 4.3.0. Affected by this vulnerability is the function parseRibEntry of the file pkg/packet/mrt/mrt.go. Executing a manipulation can lead to integer underflow. It is possible to launch the attack remotely. Upgrading to version 4.4.0 addresses this issue. This patch is called 76d911046344a3923cbe573364197aa081944592. It is suggested to upgrade the affected component.

Gravedad CVSS v4.0: MEDIA

Última modificación:

04/05/2026

CVE-2026-7737

Fecha de publicación:

04/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was identified in osrg GoBGP up to 4.3.0. Affected by this issue is the function BMPPeerUpNotification.ParseBody/BMPStatisticsReport.ParseBody of the file pkg/packet/bmp/bmp.go of the component BMP Parser. The manipulation leads to out-of-bounds read. The attack can be initiated remotely. Upgrading to version 4.4.0 can resolve this issue. The identifier of the patch is bc77597d42335c78464bc8e15a471d887bbdf260. Upgrading the affected component is recommended.

Gravedad CVSS v4.0: MEDIA

Última modificación:

04/05/2026

CVE-2026-7738

Fecha de publicación:

04/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A security flaw has been discovered in puchunjie doc-tools-mcp 1.0.18. This affects the function create_document/open_document of the file src/mcp-server.ts of the component MCP Interface. The manipulation of the argument filePath results in path traversal. The attack can be launched remotely. The exploit has been released to the public and may be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.

Gravedad CVSS v4.0: BAJA

Última modificación:

04/05/2026

CVE-2026-5335

Fecha de publicación:

04/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** The Magic Export & Import WordPress plugin before 1.2.0 stores exported CSV files at a publicly accessible location, making it possible for any visitors to leak sensitive user information.

Gravedad CVSS v3.1: MEDIA

Última modificación:

04/05/2026

CVE-2026-29200

Fecha de publicación:

04/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A critical IDOR vulnerability has been discovered in Comet Backup affecting all versions from 20.11.0 to 26.1.1 and 26.2.1. The vulnerability allows a tenant administrator to impersonate any end-user account of other tenants on the same server via a vulnerable API call.

Gravedad CVSS v4.0: CRÍTICA

Última modificación:

04/05/2026