Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-12590

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Impact: In body-parser versions prior to 1.20.6 (1.x line) and 2.3.0 (2.x line), when the parser is configured with an invalid limit option value such as an unparseable string or NaN, bytes.parse returns null and the request body size check is silently skipped. Applications that rely on limit as their primary safeguard against oversized request bodies will accept arbitrarily large payloads, leading to excessive memory and CPU usage and denial of service. Patches: This issue is fixed in body-parser 1.20.6 and 2.3.0. After the fix, invalid limit values throw a clear error at parser construction time instead of silently disabling enforcement, while null and undefined continue to fall back to the default limit of 100kb. Workarounds: Validate the limit value before passing it to body-parser. For example, parse the value at startup and reject any configuration where the result is null or a non-finite number.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2026

CVE-2026-5793

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of input during web page generation (&amp;#39;cross-site scripting&amp;#39;) vulnerability in Inrove Software and Internet Services BiEticaret allows Reflected XSS.<br /> <br /> This issue affects BiEticaret: before v3.3.57.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-5955

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of special elements used in an SQL command (&amp;#39;SQL injection&amp;#39;) vulnerability in Inrove Software and Internet Services BiEticaret allows SQL Injection.<br /> <br /> This issue affects BiEticaret: before v3.3.57.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2026

CVE-2026-56459

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL DevOps Deploy / HCL Launch is susceptible to sensitive information disclosure.  The application stores potentially sensitive information in log files that could be read by a local user.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-56460

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL DevOps Deploy / HCL Launch could disclose sensitive configurations and secrets to authenticated users in API responses that could be used in further attacks against the system.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-56458

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL DevOps Deploy uses Cross-Origin Resource Sharing (CORS) which could allow an attacker to carry out privileged actions and retrieve sensitive information as the domain name is not being limited to only trusted domains.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-15158

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Blocksy Companion plugin for WordPress is vulnerable to Arbitrary File Upload in all versions up to, and including, 2.1.46 via the save_attachments function. This is due to the Custom Fonts extension registering a wp_check_filetype_and_ext filter that approves any filename containing .woff2 or .ttf as a substring via strpos() rather than validating that those strings appear as the final extension via PATHINFO_EXTENSION — allowing double-extension filenames such as shell.woff2.php to pass MIME validation and be handled as permitted font files. This makes it possible for unauthenticated attackers to upload files that may be executable, which makes remote code execution possible. This vulnerability is only exploitable when the premium version of the plugin (blocksy-companion-pro) is installed with both the WooCommerce Extra (Advanced Reviews) and Custom Fonts extensions active; the free blocksy-companion plugin does not contain the vulnerable code paths.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2026

CVE-2026-1365

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Insertion of sensitive information into sent data vulnerability in Sayax Energy Technologies Inc. OSOS allows Authentication Bypass.<br /> <br /> This issue affects OSOS: through 09072026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-1989

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Authorization bypass through User-Controlled key vulnerability in PAVO Financial Technology Solutions Inc. PAVO Pay allows Exploitation of Trusted Identifiers.<br /> <br /> This issue affects PAVO Pay: through 09072026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2026

CVE-2026-2342

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of input during web page generation (&amp;#39;cross-site scripting&amp;#39;) vulnerability in OceanicSoft Informatics Systems Ltd. ValeApp allows Stored XSS.<br /> <br /> This issue affects ValeApp: through 09072026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2026

CVE-2026-12433

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Hydra Booking – Appointment Scheduling &amp; Booking Calendar plugin for WordPress is vulnerable to Insecure Direct Object Reference in versions up to, and including, 1.2.1 via the /wp-json/hydra-booking/v1/booking/details/{id} REST endpoint. This is due to the getBookingDetails() callback only enforcing the tfhb_manage_options capability via tfhb_manage_options_permission(), without verifying that the requested booking belongs to the currently authenticated host (the lookup in getBookingDetailsData() filters solely on the booking id supplied in the URL). This makes it possible for authenticated attackers, with Hydra Host-level access and above (a role created by the plugin which grants tfhb_manage_options), to view sensitive booking records belonging to other hosts, including attendee names, emails, phone numbers, addresses, meeting details, payment method and status, transaction history, and internal notes by iterating booking IDs.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-6910

Fecha de publicación:
09/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Bookero.pl – system rezerwacji online plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `bookero_products` shortcode&amp;#39;s `hide_products` (and `filter_products`) attributes in versions up to and including 2.2. This is due to insufficient input sanitization and output escaping in the `bookero_products()` function — the raw attribute value is concatenated directly into an inline `` block without any escaping. This makes it possible for authenticated attackers with contributor-level access and above to inject arbitrary web scripts into pages that will execute whenever a user accesses the injected page.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026