Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-14971

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM PowerVM Novalink 2.2.02.2.12.2.1.1, and 2.3.02.3.0.12.3.12.3.2 IBM NovaLink APIs misconfiguration may increase attack surface and enable unintended or unauthorized operations under non-default conditions.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/07/2026

CVE-2026-14979

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Engineering Lifecycle Management 7.0.3 ( Interim Fix 001 through ) Interim Fix 021, 7.1.0 ( Interim Fix 001 through ) Interim Fix 009, and 7.2.0 and 7.2.0 Interim Fix 001 DOORS could allow a remote attacker to cause a denial of service due to improper handling of XML entity expansion.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-15069

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Engineering AI Hub 1.0.0, 1.1.0, and 1.2.0 could allow a remote attacker to execute arbitrary script code due to improper neutralization of input during web page generation.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2026

CVE-2026-15091

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Engineering AI Hub 1.0.0, 1.1.0, and 1.2.0 could allow a remote attacker to execute arbitrary scripts due to improper neutralization of input during web page generation.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/07/2026

CVE-2026-15322

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Engineering AI Hub 1.0.0, 1.1.0, and 1.2.0 could allow a remote attacker to obtain sensitive information due to the exposure of session tokens in URLs.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2026

CVE-2026-15415

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** AWS HealthOmics is a HIPAA-eligible service that fully manages the compute, storage, and workflow engine infrastructure required to run bioinformatics analyses at scale for clinical diagnostics, drug discovery, and agricultural research.<br /> <br /> <br /> <br /> Improper limitation of a pathname to a restricted directory in the linting tools of the AWS HealthOmics MCP Server (aws-healthomics-mcp-server) before version 0.0.36 might allow an actor who can influence the MCP agent to write an actor-controlled content to arbitrary locations outside the intended workflow bundle directory, via directory traversal sequences in the workflow_files input.<br /> <br /> <br /> <br /> <br /> To remediate this issue, users should upgrade to version 0.0.36 or later.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/07/2026

CVE-2026-15093

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Engineering AI Hub 1.0.0, 1.1.0, and 1.2.0 could allow a remote attacker to redirect users to malicious websites due to improper validation of user-supplied URLs.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/07/2026

CVE-2026-12283

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Amazon Athena is a serverless, interactive query service that lets you analyze data directly in Amazon S3 using standard SQL. Athena Query Federation is a feature that allows you to connect to data sources outside of Amazon S3 like DynamoDB, Azure Synapse, and custom connectors using standard SQL syntax.<br /> <br /> <br /> <br /> Improper neutralization of special elements used in an SQL command in the Synapse connector in Amazon aws-athena-query-federation v2022.20.1 through v2026.19.1 might allow an authenticated remote user to execute injected read-only SQL queries that return unintended data from the connected database via a crafted table name.<br /> <br /> <br /> <br /> To remediate this issue, users should upgrade to version v2026.21.1 or later.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/07/2026

CVE-2026-13448

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.10.1 Lanflow OSS contains an unauthenticated remote code execution vulnerability in the public flow build endpoint ( /api/v1/build_public_tmp/{flow_id}/flow ). The vulnerability stems from an incomplete denylist in the validate_public_flow_no_code_execution() function that fails to block several code-execution agent components including OpenDsStarAgent, CodeActAgentSmolagents, and CSVAgent.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2026

CVE-2026-13473

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Storage Protect Client 8.1.0.0 through 8.1.27.0, 8.1.27.1, and 8.2.0.0 through 8.2.1.0 IBM Storage Protect is vulnerable to a heap-based buffer overflow, caused by improper bounds checking. A remote attacker could overflow a buffer and execute arbitrary code on the system or cause the server to crash.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2026

CVE-2026-14499

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.10.1 Langflow could allow an authenticated user to execute arbitrary commands with elevated privileges on the system due to improper validation of user supplied input in the Python Interpreter component.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2026

CVE-2025-51677

Fecha de publicación:
17/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in openRISC OR1200 commit 83ac6b. An output mismatch between the RTL and the netlist of the or1200 cpu output port can lead to unexpected behavior.
Gravedad: Pendiente de análisis
Última modificación:
17/07/2026