Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-8827

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The AddressRepository::getSqlQuery() method constructs a database query without properly sanitizing user input, leading to SQL Injection. The method is not invoked anywhere within the extension itself and therefore poses no direct risk in a default installation. However, custom extensions that call this method with untrusted input would expose the site to SQL injection.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/05/2026

CVE-2026-45434

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Authentication vulnerability in Apache OFBiz via Password-Change Logic Flaw Leading to Remote Code Execution<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2026

CVE-2026-46586

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Control of Generation of Code (&amp;#39;Code Injection&amp;#39;), Improper Neutralization of Directives in Dynamically Evaluated Code (&amp;#39;Eval Injection&amp;#39;) vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/05/2026

CVE-2026-31910

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Server-Side Request Forgery (SSRF) vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/05/2026

CVE-2026-31986

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Use of Hard-coded Cryptographic Key vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/05/2026

CVE-2026-35086

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Control of Generation of Code (&amp;#39;Code Injection&amp;#39;) vulnerability in email services of Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-41919

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Special Elements used in an LDAP Query (&amp;#39;LDAP Injection&amp;#39;) vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/05/2026

CVE-2026-45187

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Authorization vulnerability in Apache OFBiz Webtools.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-46721

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The create and edit flows do not restrict which user properties may be submitted and do not enforce access control on the frontend user group assignment. As a result, an attacker can assign an arbitrary frontend user group to a newly registered or edited account, gaining unauthorized access to content and functionality restricted to privileged frontend user groups.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/05/2026

CVE-2026-31378

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Input Validation vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-31379

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;), Improper Limitation of a Pathname to a Restricted Directory (&amp;#39;Path Traversal&amp;#39;), Improper Control of Generation of Code (&amp;#39;Code Injection&amp;#39;) vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-31380

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Special Elements used in an Expression Language Statement (&amp;#39;Expression Language Injection&amp;#39;) vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026