Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-44194

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OPNsense is a FreeBSD based firewall and routing platform. Prior to 26.1.8, an authenticated Remote Code Execution (RCE) vulnerability in the OPNsense core allows a user with user-management privileges to execute arbitrary system commands as root. An attacker can bypass input validation by formatting their malicious payload as a compliant email address, allowing shell commands to reach the underlying operating system. The flaw exists in the local user synchronization flow, within core/src/opnsense/scripts/auth/sync_user.php. This vulnerability is fixed in 26.1.8.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/05/2026

CVE-2026-44369

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** CVAT is an open source interactive video and image annotation tool for computer vision. From 2.5.0 to 2.63.0, an attacker who is able to create or edit an annotation guide on a task is able to add malicious JavaScript code, which will then run in the browser of anyone who opens this annotation guide. This code will be able to make arbitrary requests to CVAT with the victim user's privileges. This vulnerability is fixed in 2.64.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/05/2026

CVE-2026-32992

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** SSL verification is disabled in the DNS Cluster system. This could allow for a malicious server to man-in-the-middle the request and capture credentials.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/05/2026

CVE-2026-29205

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect privileges management and insufficient path filtering allow to read arbitrary file on the server via the cpdavd attachment download endpoints.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/05/2026

CVE-2026-45714

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** CubeCart is an ecommerce software solution. Prior to 6.7.0, an Authenticated Server-Side Template Injection (SSTI) vulnerability exists in multiple modules of CubeCart (including Email Templates, Invoices, Documents, and Contact Forms). The application unsafely evaluates user-supplied input using the Smarty template engine without enabling Smarty Security Policies. This allows any authenticated user with administrative privileges to execute arbitrary operating system commands (RCE) on the server. This vulnerability is fixed in 6.7.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/05/2026

CVE-2026-8328

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The ftpcp() function in Lib/ftplib.py was not updated when <br /> CVE-2021-4189 was fixed. While makepasv() was patched to replace <br /> server-supplied PASV host addresses with the actual peer address <br /> (getpeername()[0]), ftpcp() still calls parse227() directly and passes <br /> the raw attacker-controllable IP address and port to target.sendport(). This patch is related to CVE-2021-4189.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/06/2026

CVE-2026-45708

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** CubeCart is an ecommerce software solution. Prior to 6.7.3, an admin with documents edit permission can save raw into the Invoice Editor. The next time any admin clicks Print on any order, the rendered template is written to files/print..php. files/.htaccess ships an explicit allow from all carve-out, so the file is fetched and executed by any unauthenticated visitor. This vulnerability is fixed in 6.7.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/05/2026

CVE-2026-45228

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Quark Drive before 0.8.5 contains a stored cross-site scripting vulnerability in the System Configuration page where the template renders push_config key names using Vue.js&amp;#39;s v-html directive without escaping. Authenticated attackers can inject HTML or JavaScript payloads as key names through the POST /update endpoint, which are persisted to disk and executed in the browsers of all authenticated users accessing the System Configuration tab, allowing session cookie exfiltration and arbitrary authenticated actions.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/05/2026

CVE-2026-45229

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Quark Drive before 0.8.5 contains a mass assignment vulnerability in the POST /update endpoint that allows authenticated attackers to overwrite administrator credentials by posting an arbitrary webui object to the config_data dictionary. Attackers can exploit insufficient deny-list filtering to permanently replace stored login credentials, lock out legitimate administrators, and gain persistent access to all configured tasks, cloud tokens, and notification services.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/05/2026

CVE-2026-45053

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** CubeCart is an ecommerce software solution. Prior to 6.7.0, an Authenticated Arbitrary File Upload vulnerability exists in the REST API File Manager endpoint (POST /api/v1/files) of CubeCart. The endpoint allows any holder of an API key with files:rw permission to upload PHP source files into the web-accessible images/source/ directory, where they are executed by the web server. Combined with a path-traversal flaw in the same endpoint&amp;#39;s filepath parameter, a single API request writes a webshell anywhere the webserver process can write — including the document root — yielding full Remote Code Execution. This vulnerability is fixed in 6.7.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/05/2026

CVE-2026-45054

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** CubeCart is an ecommerce software solution. Prior to 6.7.0, the admin orders-transactions listing page (admin.php?_g=orders&amp;node=transactions) builds a raw ORDER BY SQL fragment from the attacker-controlled $_GET[&amp;#39;sort&amp;#39;] array without column or direction validation. Both the column key and the direction value flow into the query string as bare SQL tokens, and the framework&amp;#39;s sqlSafe() (mysqli escape_string) escapes only quote characters — none of which are required for ORDER BY injection. An authenticated administrator with the minimum CC_PERM_READ permission on orders can execute arbitrary SQL against the store database, including time-based blind extraction of admin password hashes, customer PII, and integrated payment-gateway credentials. This vulnerability is fixed in 6.7.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2026

CVE-2026-45055

Fecha de publicación:
13/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** CubeCart is an ecommerce software solution. Prior to 6.7.2, CubeCart 6.6.x – 6.7.1 builds CC_STORE_URL directly from the Host request header at bootstrap, with no allowlist. The constant is embedded verbatim into transactional email links, most critically the password-reset link in User::passwordRequest() (and the admin equivalent in Admin::passwordRequest()). An unauthenticated attacker who knows a target email can POST /index.php?_a=recover with Host: evil.com; CubeCart writes a fresh verify token (valid 3,600 s) and emails the victim a link http://evil.com/index.php?_a=recovery&amp;validate=. The token is valid against the legitimate store — capturing the victim&amp;#39;s click on evil.com yields full account takeover, or store takeover when an admin email is targeted. This vulnerability is fixed in 6.7.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/05/2026