Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-48956

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An improper access check allows users to display a list of modules in the frontend.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-48957

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An improper access check allows unauthorized users to access com_privacy datasets.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-48958

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An improper access check allows unauthorized users to create custom fields via webservices endpoints.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-55435

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coder allows organizations to provision remote development environments via Terraform. Starting in version 2.30.0 and prior to versions 2.32.7, 2.33.8, and 2.34.2, AI Bridge proxy endpoints authenticate via `Server.IsAuthorized` in `coderd/aibridgedserver`, which validates key format, expiry, secret and deleted or system users but does not check whether the account is suspended. Because suspension does not revoke existing API keys, a suspended user's unexpired token keeps working. Practical impact is limited to already-issued API keys of suspended users until those keys are deleted. Versions 2.32.7, 2.33.8, and 2.34.2 patch the issue. As a workaround, on suspension, delete the user's API keys via `DELETE /api/v2/users/{user}/keys`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2026

CVE-2026-48949

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Lack of validation leads to an XSS vulnerability in the MFA management views.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-48950

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Lack of escaping leads to an XSS vulnerability in the file management view of com_templates.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-48951

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Lack of escaping leads to XSS vulnerabilities in modalreturn layouts of various components.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-48952

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Lack of escaping leads to an XSS vulnerability in the update list view of com_installer.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-48953

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Lack of escaping leads to an XSS vulnerability in the generic image output layout.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-48947

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An improper access check allows privileged users to overwrite media files without editing permissions.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-48948

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An improper access check allows user to download vcard exports of com_contact contacts that are inaccessible.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/07/2026

CVE-2026-23698

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Vtiger CRM through 8.4.0 contains an authenticated remote code execution vulnerability in the admin module import feature that allows administrator-level attackers to upload arbitrary PHP files by submitting a crafted zip archive through the ModuleManager import function, which extracts contents directly into the modules/ directory under the web root without validating file types beyond the manifest.xml descriptor. Attackers can place executable PHP files in the modules/ directory that become directly accessible via HTTP, bypassing Vtiger's authentication and authorization layer entirely since Apache resolves the path and invokes the PHP interpreter before the application routing layer is involved, resulting in a persistent web shell independent of the originating session.
Gravedad CVSS v4.0: ALTA
Última modificación:
07/07/2026