Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-30808
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Session Fixation vulnerability allows Session Hijacking via crafted session ID. This issue affects Pandora FMS: from 777 through 800
Gravedad CVSS v4.0: ALTA
Última modificación:
13/05/2026

CVE-2026-30807
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery vulnerability allows an attacker to perform unauthorized actions via crafted web page. This issue affects Pandora FMS: from 777 through 800
Gravedad CVSS v4.0: ALTA
Última modificación:
13/05/2026

CVE-2026-30805
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Insecure Default Initialization of Resource vulnerability allows Authentication Bypass via API access. This issue affects Pandora FMS: from 777 through 800
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/05/2026

CVE-2023-30059
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An insecure direct object reference in MK-Auth 23.01K4.9 allows attackers to access and send support calls for other users via manipulation of the chamado parameter through a crafted GET request.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

CVE-2023-27753
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An arbitrary file upload vulnerability in MK-Auth 23.01K4.9 allows attackers to execute arbitrary code via uploading a crafted PHP file.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2026

CVE-2026-8401
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Sandbox escape in the Profile Backup component. This vulnerability was fixed in Firefox 150.0.3, Firefox ESR 115.36, Firefox ESR 140.11, and Thunderbird 140.11.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/05/2026

CVE-2026-8368
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** LWP::UserAgent versions before 6.83 for Perl leak Authorization and Proxy-Authorization headers on cross-origin redirects.<br /> <br /> On a 3xx response, the redirect handler strips only Host and Cookie before issuing the follow-up request. Caller-supplied Authorization and Proxy-Authorization headers are sent unchanged to the redirect target, including across scheme, host, or port changes.<br /> <br /> A redirect to an attacker controlled host therefore discloses the caller&amp;#39;s credentials to that host.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-8111
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** SQL injection in the web console of Ivanti Endpoint Manager before version 2024 SU6 allows a remote authenticated attacker to achieve remote code execution.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2026

CVE-2026-8110
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect permissions assignment in the agent of Ivanti Endpoint Manager before version 2024 SU6 allows a local authenticated attacker to escalate their privileges.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2026

CVE-2026-8109
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An exposed dangerous method on the Core Server of Ivanti Endpoint Manager before version 2024 SU6 allows a remote authenticated attacker to leak access credentials.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2026

CVE-2026-7432
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A race condition in Ivanti Secure Access Client before 22.8R6 allows a locally authenticated user to escalate privileges to SYSTEM
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2026

CVE-2026-8043
Fecha de publicación:
12/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** External control of a file name in Ivanti Xtraction before version 2026.2 allows a remote authenticated attacker to read sensitive files and write arbitrary HTML files to a web directory, leading to information disclosure and possible client-side attacks.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/05/2026
Suscribirse a Vulnerabilidades