Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-56664

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** ZITADEL is an open source identity management platform. Prior to 3.4.12 and 4.15.2, ZITADEL's external JWT Identity Provider validation in internal/idp/providers/jwt/session.go skips the maximum token age freshness check when an incoming token omits the iat claim, allowing arbitrarily old tokens from a trusted issuer to pass authentication. This issue is fixed in versions 3.4.12 and 4.15.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2026

CVE-2026-55670

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** ZITADEL is an open source identity management platform. Prior to 4.15.1, ZITADEL's event store validation can retain the original resource owner for a deleted user identifier, causing a later user recreated with the same identifier in another organization to be provisioned under the original organization and exposed to that organization's administrator. This issue is fixed in version 4.15.2.
Gravedad CVSS v4.0: BAJA
Última modificación:
10/07/2026

CVE-2026-53780

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
10/07/2026

CVE-2026-2397

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of special elements used in an SQL command (&amp;#39;SQL injection&amp;#39;) vulnerability in Adam Retail Automation Ltd. MobilMen 20T allows SQL Injection.<br /> <br /> This issue affects MobilMen 20T: from v3 through 10072026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/07/2026

CVE-2026-59161

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Excelize is a Go language library for reading and writing Microsoft Excel spreadsheets. Prior to 2.11.0, the streaming worksheet reader used by Rows and GetRows does not enforce the TotalRows limit on the row r attribute, allowing a small XLSX file with a row number above 1048576 and no cell coordinate to make GetRows append empty rows up to the attacker-controlled index and consume excessive memory and CPU. This issue is fixed in version 2.11.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/07/2026

CVE-2026-59162

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Excelize is a Go language library for reading and writing Microsoft Excel spreadsheets. Prior to 2.11.0, Excelize parses shared-string cell values with strconv.Atoi and checks only the upper bound before indexing the shared string slice, allowing an XLSX file containing a shared-string cell with -1 to trigger sharedStrings[-1] and panic when read through GetCellValue or GetRows. This issue is fixed in version 2.11.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/07/2026

CVE-2026-59190

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** grav-plugin-admin is an HTML user interface that provides a way to configure Grav and create and modify pages. In 1.10.52 and earlier, an authenticated attacker with admin.users permission can change the password of any user account, including the super administrator, by sending a direct POST request to /admin/user/{username}?task=save with data[password] because saveUser authorizes the caller&amp;#39;s user-management permission but does not verify whether the caller may edit the target user. This issue is expected to be fixed in version 1.10.53.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/07/2026

CVE-2026-59180

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Apprise is an open source library which allows you to send a notification to almost all of the most popular notification services available. Prior to 1.11.0, Apprise HTTP-based notification plugins and HTTP attachment and config loaders in apprise/attachment/http.py and apprise/config/http.py follow HTTP redirects by default and resend user-configured auth headers and query parameters on the redirected request, allowing a compromised trusted destination or on-path attacker to receive secrets such as Authorization headers, bearer tokens, custom headers, and service keys. This issue is fixed in version 1.11.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/07/2026

CVE-2026-59193

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Grav is a file-based Web platform. Prior to 2.0.0, an authenticated admin.super user can crash Grav or fill the disk by uploading a specially crafted ZIP archive through the Direct Install tool because Installer::unZip calls ZipArchive::extractTo without limits on uncompressed size, entry count, or directory depth. This issue is fixed in version 2.0.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/07/2026

CVE-2026-59154

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Wekan is open source kanban built with Meteor. Prior to 9.64, Wekan has a cross-board authorization bypass in the direct Meteor collection allow rules for Checklists and ChecklistItems because updates are authorized only against the current source doc.cardId and do not inspect the destination cardId or boardId in the update modifier, allowing a low-privileged authenticated user with write access to one board and knowledge of a target private card id to create checklist data on an accessible card and move it into a private board where they are not a member. This issue is fixed in version 9.64.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2026

CVE-2026-56675

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** 9Router is an AI router &amp; token saver. Prior to 0.5.2, 9router treats loopback requests as trusted and allows /v1/* access without an API key, so a same-host reverse proxy that forwards public traffic to the backend through 127.0.0.1 causes src/dashboardGuard.js to misclassify external requests as local. A remote unauthenticated attacker can access /v1 APIs such as /v1/models and may abuse configured upstream provider credentials through /v1 proxy endpoints depending on enabled providers. This issue is fixed in version 0.5.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2026

CVE-2026-58492

Fecha de publicación:
10/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** grav-plugin-database is the database plugin for Grav CMS. Prior to 1.2.0, the PDO::tableExists method interpolates its table argument directly into a raw SQL query string without sanitization, escaping, quoting, or whitelisting, allowing attacker-controlled table names passed by consuming plugin or developer code to execute arbitrary SQL against the configured database. This issue is fixed in version 1.2.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/07/2026