Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-46727

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Ruby 4 before 4.0.5. A race condition leading to a use-after-free in the pthread-based getaddrinfo timeout handler (rb_getaddrinfo in ext/socket/raddrinfo.c) allows a remote attacker who can delay DNS responses near the user-specified timeout to crash a Ruby process that calls Addrinfo.getaddrinfo(..., timeout:) or Socket.tcp(..., resolv_timeout:). Memory-corruption-based exploitation is theoretically possible. The attack could, for example, be carried out through a crafted authoritative DNS server or recursive resolver.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/05/2026

CVE-2026-42627

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In Arm ArmNN through 2026-03-27, an integer overflow in TensorShape::GetNumElements() in armnn/Tensor.cpp allows a crafted TFLite model file to bypass buffer size validation and trigger a heap-based buffer over-read during model optimization. The overflow occurs when multiplying tensor dimensions using 32-bit unsigned arithmetic without overflow detection, causing GetNumBytes() to return an understated allocation size. During Optimize()->InferOutputShapes(), the BatchToSpaceNdLayer reads beyond the allocated buffer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/05/2026

CVE-2026-39964

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** TypeBot is a chatbot builder tool. In versions prior to 3.16.0, the Typebot viewer (packages/embeds/js) renders anchor tags from rich text bubble content without filtering the javascript: URI scheme. A bot author can set a link URL to javascript:PAYLOAD, which executes in the visitor's browser context when clicked. Since the viewer is typically embedded in a third-party site, the attacker's JavaScript runs in the host page's origin and can exfiltrate cookies and session tokens. This can result in any authenticated Typebot user (including those on the free tier) being able to create a bot with this payload. Shared bots are publicly accessible — no victim authentication is required. This issue has been resolved in version 3.16.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/05/2026

CVE-2026-9255

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing input source validation in the tool authorization prompt in Kiro CLI before 1.28.0 allows a local attacker to execute arbitrary tools, including shell commands, without user approval by crafting content that is piped to kiro-cli via stdin.<br /> <br /> <br /> <br /> We recommend you to upgrade to kiro-cli version 1.28.0 or later.
Gravedad CVSS v4.0: ALTA
Última modificación:
04/06/2026

CVE-2026-36228

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Buffer Overflow vulnerability in Easy Chat Server 3.1 allows a remote attacker to obtain sensitive information and execute arbitrary code via the chat message functionality
Gravedad CVSS v3.1: ALTA
Última modificación:
05/07/2026

CVE-2026-37470

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in ClipBucket v5 v.5.5.2 allows an attacker to execute arbitrary code via the Authentication interface, login page endpoint and HTTP response security headers components
Gravedad CVSS v3.1: ALTA
Última modificación:
05/07/2026

CVE-2026-32253

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Sunshine is a self-hosted game stream host for Moonlight. In versions prior to 2026.516.143833, the client-certificate authentication can be bypassed because of how OpenSSL verification results are handled. In src/crypto.cpp, the custom verify callback treats X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY, X509_V_ERR_CERT_NOT_YET_VALID, and X509_V_ERR_CERT_HAS_EXPIRED as success. This can allow an untrusted certificate to pass authentication and access protected HTTPS endpoints. This issue has been fixed in version 2026.516.143833.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/05/2026

CVE-2026-36227

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Directory Traversal vulnerability in Easy Chat Server 3.1 allows a remote attacker to obtain sensitive information and execute arbitrary code via the UserName parameter
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/07/2026

CVE-2026-27136

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Parsing arbitrary HTML which is then rendered using Render can result in an unexpected HTML tree. This can be leveraged to execute XSS attacks in applications that attempt to sanitize input HTML before rendering.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2026

CVE-2026-42506

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Parsing arbitrary HTML which is then rendered using Render can result in an unexpected HTML tree. This can be leveraged to execute XSS attacks in applications that attempt to sanitize input HTML before rendering.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2026

CVE-2026-42502

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Parsing arbitrary HTML which is then rendered using Render can result in an unexpected HTML tree. This can be leveraged to execute XSS attacks in applications that attempt to sanitize input HTML before rendering.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2026

CVE-2026-39821

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The ToASCII and ToUnicode functions incorrectly accept Punycode-encoded labels that decode to an ASCII-only label. For example, ToUnicode("xn--example-.com") incorrectly returns the name "example.com" rather than an error. This behavior can lead to privilege escalation in programs using the idna package. For example, a program which performs privilege checks on the ASCII hostname may reject "example.com" but permit "xn--example-.com". If that program subsequently converts the ASCII hostname to Unicode, it will inadvertently permits access to the Unicode name "example.com".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/07/2026