Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-45320

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** DataEase is an open source data visualization and analysis tool. Prior to 2.10.23, DataEase dashboard SQL variables such as ${deptId} are processed by SqlparserUtils.transFilter(), whose final branch returns raw user input for non-in and non-between operators before SubstitutedSql.replace("${var}", value) splices it into dashboard SQL, allowing authenticated users who can view a dashboard to inject SQL against integrated datasources. This issue is fixed in version 2.10.23
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2026

CVE-2026-40956

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** CVE-2026-40956<br /> is a memory disclosure vulnerability in Secure Access client versions prior to 14.55.<br /> Attackers with intimate knowledge of and total control over the tunnel protocol<br /> can cause a small amount of random memory to leak.
Gravedad CVSS v4.0: BAJA
Última modificación:
16/07/2026

CVE-2026-40957

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** o  <br /> CVE-2026-40957 is a frameable content<br /> vulnerability in the Secure Access server login page prior to 14.55. Attackers<br /> with control of a malicious web site could use it to potentially steal<br /> credentials from an unwary administrator.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/07/2026

CVE-2026-40958

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** CVE-2026-40958<br /> is a input validation error in Secure Access clients prior to 14.55. Attackers<br /> with intimate knowledge of and total control over the tunnel protocol can<br /> create a non-persistent DoS against their client.
Gravedad CVSS v4.0: BAJA
Última modificación:
16/07/2026

CVE-2026-40955

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** CVE-2026-40955 is an integer underflow<br /> vulnerability in the traffic parsing function of Secure Access clients prior to<br /> 14.55. Attackers with intimate knowledge of and total control over the tunnel<br /> protocol can create a non-persistent DoS against their client.
Gravedad CVSS v4.0: BAJA
Última modificación:
16/07/2026

CVE-2026-40953

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** CVE-2026-40953 is a heap overflow in the<br /> certificate parsing function of Secure Access clients prior to 14.55. Attackers<br /> with local access and administrator permissions can create a denial of service<br /> attack against the client over which they have control.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/07/2026

CVE-2026-40954

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** CVE-2026-40954<br /> is an integer underflow vulnerability in the traffic parsing function of Secure<br /> Access clients prior to 14.55. Attackers with intimate knowledge of and total<br /> control over the tunnel protocol can create a non-persistent DoS against their<br /> client
Gravedad CVSS v4.0: BAJA
Última modificación:
16/07/2026

CVE-2026-40952

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** CVE-2026-40952 is a privilege misconfiguration<br /> in the Secure Access installer for the Windows client and server prior to<br /> version 14.55. Attackers with local access to the client or server can use it<br /> to elevate privileges to Administrator when Secure Access is installed in a<br /> non-default location.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/07/2026

CVE-2026-33443

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** CVE-2026-33443 is a memory management error in<br /> Secure Access servers prior to 14.55. Attackers with an intimate knowledge of<br /> and total control over the tunnel protocol can create a persistent DoS against<br /> the server.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/07/2026

CVE-2026-62353

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** TDengine is a time-series database optimized for Internet of Things devices. Prior to 3.4.1.14, source/libs/parser/src/parTokenizer.c tGetToken() incremented past a trailing backslash in a SQL string literal such as &amp;#39;abc\ and read one byte beyond the null terminator, allowing an authenticated user who can submit SQL queries to crash the server and possibly leak adjacent memory. This issue is fixed in version 3.4.1.14.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2026

CVE-2026-62355

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** TDengine is an open source, time-series database optimized for Internet of Things devices. Prior to 3.4.1.15, a Data Reader admin_user on a TDengine Cloud DB instance could run create udf even though standard users should have read-only permissions for non-database objects and show dnodes and create user were denied. This issue is fixed in version 3.4.1.15.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2026

CVE-2026-62947

Fecha de publicación:
15/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenWrt is a Linux operating system targeting embedded devices. Prior to 25.12.5, the cgi-download handler in cgi-io authorizes the requested path against the caller&amp;#39;s ubus session file ACL before canonicalization, and rpcd session.c uses fnmatch() without FNM_PATHNAME, allowing traversal such as an allowed wildcard prefix followed by ../ to read root-readable files including /etc/shadow. This vulnerability is fixed in 25.12.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2026