Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-44969

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** dbt-mcp is a Model Context Protocol server for interacting with dbt. Prior to 1.17.1, DbtMCP.call_tool() in src/dbt_mcp/mcp/server.py logged the raw arguments dictionary at INFO level before each tool call and at ERROR level on exceptions, and configure_file_logging() wrote those records to dbt-mcp.log when DBT_MCP_SERVER_FILE_LOGGING=true, preserving sensitive sql_query, vars, and node_selection values in plaintext without automatic rotation or deletion. This issue is fixed in version 1.17.1.
Gravedad CVSS v3.1: BAJA
Última modificación:
16/07/2026

CVE-2026-44970

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** dbt-mcp is a Model Context Protocol server for interacting with dbt. Prior to 1.17.1, DefaultUsageTracker.emit_tool_called_event() in src/dbt_mcp/tracking/tracking.py serialized every MCP tool call's complete arguments dictionary and sent it through dbtlabs_vortex.producer.log_proto without redaction, including sql_query from show, vars from run, build, and test, and node_selection from compile, while usage_tracking_enabled in settings.py enabled telemetry by default unless DBT_SEND_ANONYMOUS_USAGE_STATS=false or DO_NOT_TRACK=1 was set. This issue is fixed in version 1.17.1.
Gravedad CVSS v3.1: BAJA
Última modificación:
16/07/2026

CVE-2026-45336

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** HireFlow is a web-based interview management system for managing candidates, scheduling interviews, and tracking hiring progress. In 1.2 and earlier, app.py assigns a hard-coded Flask secret_key used to sign session cookies, allowing unauthenticated attackers who know the public source value to forge cookies containing role=admin and user_id values and bypass authentication. The advisory lists version 1.3 as fixed.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/07/2026

CVE-2026-15737

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** AWS Bedrock AgentCore Python SDK is an open-source Python library that provides client tools for building AI agents on the Amazon Bedrock AgentCore platform.<br /> <br /> <br /> <br /> Unintended logging of sensitive user content in the OpenTelemetry instrumentation in AWS Bedrock AgentCore Python SDK versions 1.4.8 and 1.5.0 might allow a local authenticated user with access to CloudWatch Logs to access raw user prompts and agent responses containing sensitive data via span attributes. The SDK wrote raw user prompts and complete agent responses into OpenTelemetry span attributes on every invocation without filtering or masking. These spans flow into the customer&amp;#39;s aws/spans CloudWatch log group, exposing sensitive content to any principal with log read access.<br /> <br /> <br /> <br /> We recommend you upgrade to version 1.5.1 or later. Users who ran affected versions should also review and purge sensitive content from their aws/spans CloudWatch log groups.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/07/2026

CVE-2026-15945

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the group search functionality of the Keycloak server&amp;#39;s administrative API. When Fine-Grained Admin Permissions (FGAP) v2 is enabled, a delegated administrator can bypass access restrictions to view parent groups they are not authorized to see. By searching for a child group they have permission to view, the system incorrectly returns the full details of the parent group in the response, leading to the disclosure of sensitive group attributes and configuration.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2026

CVE-2021-27137

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in router/upnp/src/ssdp.c in DD-WRT before 45724. An unsafe strcpy in the UPnP handling functionality allows an unauthenticated remote attacker to send a request that would overflow an internal fixed buffer. Exploitation requires the DD-WRT user to enable UPnP (which is off by default, and only listens on internal interfaces by default). This occurs in ssdp_msearch (reachable by an M-SEARCH request).
Gravedad CVSS v3.1: ALTA
Última modificación:
16/07/2026

CVE-2026-9046

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A potential insecure permissions vulnerability was reported in Legion Zone and the Lenovo App Store Windows applications, distributed exclusively in the Chinese market, that when installed on a non‑system partition, could allow a local user to execute arbitrary code.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/07/2026

CVE-2026-63086

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** text-generation-inference through 3.3.7 contains a server-side request forgery (SSRF) vulnerability in the OpenAI-compatible multimodal chat completions endpoint that allows unauthenticated network attackers to coerce the server into issuing arbitrary HTTP GET requests by supplying a crafted image_url value in chat message content. The fetch_image function in router/src/validation.rs performs no validation of private, loopback, link-local, or cloud metadata target addresses, and the reqwest HTTP client follows redirects by default, enabling attackers to bypass scheme checks via redirect chains to reach internal services and cloud instance-metadata endpoints for internal port scanning and credential theft.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/07/2026

CVE-2026-63088

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** stoatchat before 0.14.0 contains a server-side request forgery (SSRF) vulnerability that allows unauthenticated network-accessible attackers to bypass the DNS-based IP blocklist by exploiting incomplete address validation in the url_is_blacklisted function, which inspects only the first resolved address while the underlying HTTP client iterates all cached addresses.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/07/2026

CVE-2026-6511

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** During an internal security assessment, a potential improper access control vulnerability was discovered in Lenovo Smart Connect for Windows that could allow a local authenticated user to access files owned by a different user on the same system.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/07/2026

CVE-2026-57073

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** HTML::Bare versions through 0.04 for Perl have an unbounded character lookahead.<br /> <br /> The parserc_parse function attempts to check for multicharacter strings such as "" without checking that the offsets are within the buffer.<br /> <br /> Truncated strings such as "
Gravedad: Pendiente de análisis
Última modificación:
16/07/2026

CVE-2026-57074

Fecha de publicación:
16/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** XML::Bare versions through 0.53 for Perl have an unbounded character lookahead.<br /> <br /> The parserc_parse function attempts to check for multicharacter strings such as "" without checking that the offsets are within the buffer.<br /> <br /> Truncated strings such as "
Gravedad: Pendiente de análisis
Última modificación:
16/07/2026