Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-22098

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Various sensitive information such as passwords and charging card UIDs are written to log files.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/07/2026

CVE-2026-22099

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The charging station does not require authentication for Bluetooth commands to perform actions. The functionality exposed includes sensitive information leakage, triggering reboots, or pushing a firmware update URL.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/07/2026

CVE-2026-22100

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The OCPP DataTransfer message `ReserveLogin` is vulnerable to command injection. By manipulating the data value, arbitrary OS commands can be executed as root.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/07/2026

CVE-2026-22102

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A POST request sent to a specific webserver endpoint can be used to write to arbitrary file locations. The endpoint accepts the filename parameter in the Content-Disposition header without verification.<br /> This can be used to cause a denial of service by overwriting system files, or remote-code-execution by overwriting shell-scripts which execution can be triggered through other means.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/07/2026

CVE-2026-22103

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The NPC start endpoint on the web server at port 8090 is vulnerable to command injection.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/07/2026

CVE-2026-22093

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The EVbee Service Android app uses TLS encrypted communication (HTTPS), but does not validate the certificate provided by the server. This allows an attacker on the network path between the app and EVbee server to intercept and manipulate the communication between the app and server. The traffic is weakly encrypted using RC4 with a hardcoded key, which allows an attacker to gain access to the communication. Part of this communication involves access codes to charging stations.<br /> <br /> <br /> <br /> <br /> <br /> This issue affects EVbee Service: v1.4.101.00.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/07/2026

CVE-2026-14846

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** In version 8.2.1 of PrestaShop, there is a vulnerability relating to the incorrect sanitisation of elements, caused by inadequate validation of the ‘Alias’ parameter in the ‘Update your address’ function. This flaw allows an attacker to inject malicious expressions that are executed when the information is exported using the ‘Get my data in CSV’ tool. Successful exploitation of this vulnerability could facilitate unauthorised access to the victim’s personal data.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/07/2026

CVE-2026-15557

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A weakness has been identified in waooAI waoowaoo up to 0.4.1. Affected by this vulnerability is the function getInternalTaskSession/getAuthSession/requireUserAuth/requireProjectAuth/requireProjectAuthLight in the library src/lib/api-auth.ts of the component Internal Task Header Handler. This manipulation of the argument x-internal-user-id request causes improper authentication. Remote exploitation of the attack is possible. The exploit has been made available to the public and could be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/07/2026

CVE-2026-15548

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security vulnerability has been detected in Shibby Tomato up to 1.28.0000. This vulnerability affects the function sub_407220 of the file /usr/sbin/httpd of the component DNS List Rendering. The manipulation leads to stack-based buffer overflow. The attack is possible to be carried out remotely. This project is superseded by FreshTomato.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2026

CVE-2026-13014

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in Thales CERT "Suspicious" application =
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/07/2026

CVE-2026-9708

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 11.7.x
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/07/2026

CVE-2026-9597

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 11.7.x
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/07/2026