Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-44573

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Next.js is a React framework for building full-stack web applications. From 12.2.0 to before 15.5.16 and 16.2.5, Applications using the Pages Router with i18n configured and middleware/proxy-based authorization can allow unauthorized access to protected page data through locale-less /_next/data//.json requests. In affected configurations, middleware does not run for the unprefixed data route, allowing an attacker to retrieve SSR JSON for protected pages without passing the intended authorization checks. This vulnerability is fixed in 15.5.16 and 16.2.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2026

CVE-2026-44574

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Next.js is a React framework for building full-stack web applications. From 15.4.0 to before 15.5.16 and 16.2.5, applications that rely on middleware to protect dynamic routes can be vulnerable to authorization bypass. In affected deployments, specially crafted query parameters can alter the dynamic route value seen by the page while leaving the visible path unchanged, which can allow protected content to be rendered without passing the expected middleware check. This vulnerability is fixed in 15.5.16 and 16.2.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2026

CVE-2026-44575

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Next.js is a React framework for building full-stack web applications. From 15.2.0 to before 15.5.16 and 16.2.5, App Router applications that rely on middleware or proxy-based checks for authorization can allow unauthorized access through transport-specific route variants used for segment prefetching. In affected configurations, specially crafted .rsc and segment-prefetch URLs can resolve to the same page without being matched by the intended middleware rule, which can allow protected content to be reached without the expected authorization check. This vulnerability is fixed in 15.5.16 and 16.2.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2026

CVE-2026-2695

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A command<br /> injection vulnerability was discovered in TeamViewer DEX Platform On-Premises<br /> (former 1E DEX Platform On-Premises) prior to version 9.2. Improper input validation allows<br /> authenticated users with at least questioner privileges to inject commands in specific<br /> instructions. Exploitation could lead to execution of elevated commands on<br /> devices connected to the platform.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

CVE-2024-48519

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Buffer Overflow vulnerability in Ardupilot rover commit v.c56439b045162058df0ff136afea3081fcd06d38 allows a local attacker to cause a denial of service via the AP_InertialSensor_ADIS1647x.cpp, ArduRover, ADIS1647x Sensor component.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2026

CVE-2026-8367

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** aria2c accepts a server certificate with incorrect Extended Key Usage (EKU). If the attackers compromise a certificate (with the associated private key) issued for a different purpose, they may be able to reuse it for TLS server authentication.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

CVE-2026-6281

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A potential vulnerability was reported in some Lenovo Personal Cloud Storage devices that could allow a remote authenticated user on the local network to execute arbitrary commands on the device.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/05/2026

CVE-2026-6282

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A potential improper file path validation vulnerability was reported in some Lenovo Personal Cloud Storage devices that could allow a remote authenticated user to move or access files belonging to other users on the same device.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/05/2026

CVE-2026-45740

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.5.8 and 8.2.0, protobufjs could recurse without a depth limit while expanding nested JSON descriptors through Root.fromJSON() and Namespace.addJSON(). A crafted JSON descriptor with deeply nested namespace definitions could cause the JavaScript call stack to be exhausted during descriptor loading. This vulnerability is fixed in 7.5.8 and 8.2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2026

CVE-2026-45028

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Astro is a web framework. Astro versions prior to 6.1.10 used AES-GCM encryption to protect the confidentiality and integrity of server island props and slots parameters, but did not bind the ciphertext to its intended component or parameter type. An attacker could replay one component&amp;#39;s encrypted props (p) value as another component&amp;#39;s slots (s) value, or vice versa. Since slots contain raw unescaped HTML while props may contain user-controlled values, this could lead to XSS in applications. This occurs when the application uses server islands, two different server island components share the same key name for a prop and a slot, and an attacker has full control over the value of the overlapping prop (requires a dynamically rendered page). This vulnerability is fixed in 6.1.10.
Gravedad CVSS v4.0: BAJA
Última modificación:
14/05/2026

CVE-2026-45033

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** GitHub Copilot CLI brings AI-powered coding assistance directly to your command line. Prior to 1.0.43, a security vulnerability has been identified in GitHub Copilot CLI where a malicious bare git repository nested inside a project directory can achieve arbitrary code execution when the agent performs git operations. By exploiting git&amp;#39;s automatic bare repository discovery during directory traversal, an attacker can set core.fsmonitor or other executable config keys to run arbitrary commands without user awareness or approval. The vulnerability arises because git&amp;#39;s core.fsmonitor config key (and 15+ similar keys such as core.hookspath, diff.external, merge.tool, etc.) can specify arbitrary shell commands that git will execute as part of normal operations like status, diff, or rev-parse. This vulnerability is fixed in 1.0.43.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/06/2026

CVE-2026-44665

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** fast-xml-builder builds XML from JSON. Prior to 1.1.7, when an input data has quotes in attribute values but process entities is not enabled, it breaks the attribute value into multiple attributes. This gives the room for an attacker to insert unwanted attributes to the XML/HTML. This vulnerability is fixed in 1.1.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/05/2026