Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-54171

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Excon is usable, fast, simple HTTP 1.1 for Ruby. Prior to 1.5.0, Excon's RedirectFollower middleware failed to strip additional sensitive headers when following redirects and did not provide a custom list of headers to strip. This could cause inadvertent leakage of sensitive data when the initial request includes header information that is not intended for the new target. This issue is fixed in version 1.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-54463

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** websocket-driver is a WebSocket protocol handler with pluggable I/O. Prior to 0.8.1, draft versions of the WebSocket protocol in websocket-driver include a length header that allows an arbitrarily large integer to be encoded as bytes with the high bit set, and a server or client can send an indefinite sequence of 0x80 or higher bytes that the peer parses into an ever-growing Ruby integer. This can make a WebSocket connection consume an unbounded amount of memory and lead to the host process running out of memory. This issue is fixed in version 0.8.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/07/2026

CVE-2026-54464

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** ### Impact<br /> <br /> If this library is used in tandem with the `permessage-deflate` extension, a<br /> WebSocket server or client can be made to accept messages that are larger than<br /> the configured maximum message size. This is because this limit is checked<br /> against the message frames&amp;#39; length headers, which give the size of the<br /> compressed data, not the size after decompression. This can lead to applications<br /> accepting larger messages than expected and exceeding their intended resource<br /> usage.<br /> <br /> ### Patches<br /> <br /> The issue has been patched in version 0.8.1, by checking the length of messages<br /> after they are processed by incoming extensions. All users should upgrade to<br /> this version.<br /> <br /> ### Workarounds<br /> <br /> No known workarounds exist.<br /> <br /> ### Acknowledgements<br /> <br /> This issue was discovered and reported by Pranjali Thakur, DepthFirst Security<br /> Research Team.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/07/2026

CVE-2026-54465

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** websocket-driver is a WebSocket protocol handler with pluggable I/O. Prior to 0.8.1, when websocket-driver is used to implement a WebSocket server on top of a TCP server using WebSocket::Driver.server() or to complement a WebSocket client, a peer can make a single connection consume an unbounded amount of memory by sending an HTTP request or response with a never-ending list of headers. This can lead to the receiving process running out of memory. This issue is fixed in version 0.8.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/07/2026

CVE-2026-52199

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in Generic OEM UZ801_v2.1 4G LTE Router V3.4.3 allows a remote attacker to execute arbitrary code via the sbin/adbd component
Gravedad: Pendiente de análisis
Última modificación:
17/07/2026

CVE-2026-50197

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Skipper is an HTTP router and reverse proxy for service composition. Prior to 0.26.10, zalando/skipper&amp;#39;s OpenPolicyAgent integration silently bypasses request-body inspection on HTTP/1.1 Transfer-Encoding: chunked and HTTP/2 requests that omit the content-length pseudo-header, because the opaAuthorizeRequestWithBody filter and OpenPolicyAgentInstance.ExtractHttpBodyOptionally in filters/openpolicyagent/openpolicyagent.go produce an empty raw_body and input.parsed_body while the upstream service receives the full attacker-controlled body. This issue is fixed in version 0.26.10.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/07/2026

CVE-2026-50289

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** systeminformation is a System and OS information library for node.js. Prior to 5.31.7, networkInterfaces() on Linux is vulnerable to OS command injection through the Debian/Ubuntu interfaces(5) source directive because lib/network.js checkLinuxDCHPInterfaces() reads /etc/network/interfaces, extracts a source token from file content, and interpolates it unquoted into cat ${file} 2&gt; /dev/null | grep &amp;#39;iface\|source&amp;#39; executed by execSync(cmd, util.execOptsLinux), allowing a path containing shell metacharacters to execute commands in any process that calls networkInterfaces(), including via getStaticData() and getAllData(). This issue is fixed in version 5.31.7.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/07/2026

CVE-2026-51833

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Xenforo 2.3.8 is vulnerable to SSRF. Attackers that have administrator privileges or are able to add/save RSS feeds can enumerate internal services (ports) or expose the original IP address of the server.
Gravedad: Pendiente de análisis
Última modificación:
17/07/2026

CVE-2026-49852

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** joserfc is a Python library that provides an implementation of several JSON Object Signing and Encryption (JOSE) standards. Prior to 1.6.8, joserfc.jwt.decode accepts attacker-forged HMAC-signed tokens when the caller-supplied verification key is the empty string or None, because HMACAlgorithm.sign and HMACAlgorithm.verify in src/joserfc/_rfc7518/jws_algs.py pass the output of OctKey.get_op_key(...) to hmac.new(...) and OctKey.import_key in src/joserfc/_rfc7518/oct_key.py only emits a SecurityWarning for keys shorter than 14 bytes without rejecting zero-length input. This issue is fixed in version 1.6.8.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/07/2026

CVE-2026-4938

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Verify Identity Access 11.0 through 11.0.2 and IBM Security Verify Access 10.0 through 10.0.9.1 and IBM Verify Identity Access Container 11.0 through 11.0.2 and IBM Security Verify Access Container 10.0 through 10.0.9.1 could allow an attacker with read-only privileges to make unauthorized modifications and deployments outside of their assigned permissions.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-4942

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM i 7.6, 7.5, 7.4, and 7.3 could allow a remote attacker to send a specifically crafted message and downgrade the Transport Layer Security (TLS) protocol to a version disabled in the server configuration.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-50151

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** oras-go is a Go library for managing OCI artifacts. Prior to 2.6.1, registry/remote/repository.go in blobStore.completePushAfterInitialPost follows a registry-controlled Location header during monolithic blob upload and reuses the Authorization header from the initial POST request for the subsequent PUT request, allowing a malicious registry to return a cross-host Location and receive the caller&amp;#39;s credentials at an attacker-controlled endpoint. This issue is fixed in version 2.6.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2026