Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-16093

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Keycloak provides a mechanism called Client Policies to enforce security requirements on clients, such as requiring them to use signed JWTs for authentication. A flaw was discovered where this enforcement can be bypassed. An attacker with valid client credentials can provide a fake, unsigned assertion header that tricks the system into thinking the policy requirements have been met. This allows the attacker to authenticate using simpler methods like a client secret even when the administrator has mandated more secure, signed assertions.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-16103

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the keycloak-services component of Keycloak. This issue is an incomplete fix for CVE-2026-9798, where brute-force protection checks were added to the Client-Initiated Backchannel Authentication (CIBA) initiation handler but were omitted from the token redemption handler. This allows an attacker with valid client credentials to obtain access and refresh tokens for a user account that has been locked due to brute-force protection, provided the authentication request was started before the lockout occurred and was approved by the user.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-16106

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the admin REST API of Keycloak, a solution for identity and access management. The issue occurs when a delegated administrator attempts to remove a child role from a composite role. Due to missing authorization checks, an attacker with limited administrative permissions can remove privileged roles they are not authorized to manage, leading to a loss of access for other users and administrators.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-16104

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the authentication configuration endpoint of the keycloak-services component, which is the core engine for Red Hat Build of Keycloak identity and access management. The issue occurs because the system fails to mask sensitive configuration values, such as reCAPTCHA secret keys, when they are requested by administrators with view-only permissions. This can lead to the exposure of third-party service credentials to unauthorized personnel or through administrative logs.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-21760

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL DevOps Loop is affected by an Unauthorized Access to Admin Functionality (Forced Browsing) vulnerability. Improper authorization checks may allow unauthorized users to access restricted administrative functionality by directly accessing protected application endpoints.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-21761

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL DevOps Loop is affected by a Cross-Origin Resource Sharing (CORS) misconfiguration. Improper CORS configuration may allow unauthorized cross-origin requests, potentially exposing application resources to untrusted domains.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-16108

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the default-groups REST endpoint and realm representation of Keycloak. This component is responsible for managing groups that are automatically assigned to new users within a realm. The issue allows a delegated administrator with realm-viewing permissions to see the names and identifiers of hidden default groups, even if they lack the specific permissions to view those groups. This can lead to the exposure of sensitive organizational structures or internal group names.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-11763

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Authorization bypass through User-Controlled key vulnerability in Gis Informatics Engineering Consulting Laboratory R&amp;D and Software Services Inc. GisLab Laboratory Management System allows Exploitation of Trusted Identifiers.<br /> <br /> This issue affects GisLab Laboratory Management System: from 1.4.03 through 08072026.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-12691

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing authentication for critical function vulnerability in Vimesoft Inc. Enterprise Video Platform allows Authentication Bypass.<br /> <br /> This issue affects Enterprise Video Platform: from 3.11.0.0 before 3.25.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2026

CVE-2026-12692

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Unverified password change vulnerability in Vimesoft Inc. Enterprise Video Platform allows Authentication Bypass.<br /> <br /> This issue affects Enterprise Video Platform: from 3.11.0.0 before 3.25.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/07/2026

CVE-2026-12693

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Authorization bypass through User-Controlled key vulnerability in Vimesoft Inc. Enterprise Video Platform allows Accessing Functionality Not Properly Constrained by ACLs.<br /> <br /> This issue affects Enterprise Video Platform: from 3.11.0.0 before 3.25.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/07/2026

CVE-2026-12694

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in Vimesoft Inc. Enterprise Video Platform allows Accessing Functionality Not Properly Constrained by ACLs.<br /> <br /> This issue affects Enterprise Video Platform: from 3.11.0.0 before 3.25.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/07/2026