Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-31387

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Authentication vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-31388

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Access Control vulnerability in Apache OFBiz in multi-tenant deployments.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-31906

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;) vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-31909

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/05/2026

CVE-2026-29207

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Special Elements Used in a Template Engine vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.<br /> <br /> Please note that in the updated version, "Data Resource" records with dataTemplateTypeId = "FTL" are no longer supported.<br /> <br /> Additionally, in the updated version, the "Ecommerce Customer" security group no longer includes content management grants. Users are advised to remove these permissions from any production site as well.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-29220

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Limitation of a Pathname to a Restricted Directory (&amp;#39;Path Traversal&amp;#39;) vulnerability in Apache OFBiz.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-29226

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Server-Side Request Forgery (SSRF) vulnerability in Apache OFBiz via Content component operations.<br /> <br /> This issue affects Apache OFBiz: before 24.09.06.<br /> <br /> Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/05/2026

CVE-2026-2611

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In MLflow version 3.9.0, the MLflow Assistant feature introduced improper origin validation in its /ajax-api endpoints. This vulnerability allows a remote attacker to exploit cross-origin requests from a malicious webpage to interact with the MLflow Assistant running on a victim&amp;#39;s local machine. By bypassing the loopback-only restriction, the attacker can modify the Assistant&amp;#39;s configuration to enable full access, which in turn allows the execution of arbitrary commands via the Claude Code sub-agent. This issue is resolved in version 3.10.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/06/2026

CVE-2026-44408

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** There is an unauthorized access vulnerability in ZTE MU5250. Due to improper permission control of the Web interface, an unauthorized attacker can  modify configuration through the interface.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-8922

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in Keycloak. When both realm-level and client-level `notBefore` revocation policies are configured, Keycloak&amp;#39;s OpenID Connect (OIDC) Introspection feature fails to properly honor the realm-level policy. This allows tokens that should have been revoked to remain active, potentially leading to unauthorized access or continued session validity. This could impact the security of systems utilizing Keycloak for identity and access management.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/06/2026

CVE-2026-4885

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Piotnet Addons for Elementor Pro plugin for WordPress is vulnerable to arbitrary file upload due to missing file type validation in the &amp;#39;pafe_ajax_form_builder&amp;#39; function in all versions up to, and including, 7.1.70. The plugin uses an incomplete extension blacklist that only blocks php, phpt, php5, php7, and exe extensions, while allowing dangerous extensions such as .phar or .phtml to be uploaded. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site&amp;#39;s server which may make remote code execution possible. Note: The exploit can only be exploited if a file field is added to the form.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/05/2026

CVE-2026-47317

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Uncontrolled Recursion vulnerability in Samsung Open Source Escargot allows Excessive Allocation.<br /> <br /> This issue affects Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2026