Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-9571

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 11.7.x
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2026

CVE-2026-15545

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was identified in Shibby Tomato up to 1.28.0000. Affected by this vulnerability is the function main of the file www/apcupsd/tomatodata.cgi of the component apcupsd. Such manipulation leads to out-of-bounds write. The attack may be launched remotely. The exploit is publicly available and might be used. This project is superseded by FreshTomato.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/07/2026

CVE-2026-15547

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A weakness has been identified in Shibby Tomato up to 1.28.0000. This affects the function sub_2D048 of the component CIFS Mount Handler. Executing a manipulation of the argument cifs1/cifs2 can lead to os command injection. The attack can be executed remotely. The exploit has been made available to the public and could be used for attacks. This project is superseded by FreshTomato.
Gravedad CVSS v4.0: BAJA
Última modificación:
13/07/2026

CVE-2026-15574

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the vllm-orchestrator-gateway component. The system's production binary logs all incoming authorization headers and full chat payloads, which may contain personally identifiable information (PII) and secrets, to persistent logs. This sensitive data, including bearer tokens and chat content, can be accessed by any user with logging privileges. This vulnerability leads to information disclosure, potentially allowing an attacker to harvest credentials and sensitive conversation content.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/07/2026

CVE-2026-62143

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A Server-Side Request Forgery (SSRF) protection bypass existed in the html_to_markdown expansion module of misp-modules.<br /> <br /> The module attempts to prevent requests to loopback, private, link-local, and other restricted IP address ranges. However, IP addresses were compared against the blocked ranges without first normalising IPv4-mapped IPv6 addresses.<br /> <br /> An authenticated attacker able to invoke the module could supply an IPv4-mapped IPv6 address, such as:<br /> <br /> http://[::ffff:127.0.0.1]/<br /> http://[::ffff:169.254.169.254]/<br /> <br /> Alternatively, the attacker could use a hostname that resolves to an IPv4-mapped IPv6 address. These addresses were treated as IPv6 addresses and therefore did not match the corresponding blocked IPv4 ranges.<br /> <br /> Successful exploitation could cause the misp-modules server to connect to services available through its loopback interface, internal network, or link-local network. This could expose internal web services, administrative interfaces, or cloud instance metadata, with retrieved content potentially returned to the attacker as converted Markdown.<br /> <br /> The vulnerability has been addressed by normalising IPv4-mapped IPv6 addresses to their underlying IPv4 representation before applying the blocked-range checks. URLs without a valid hostname are now also rejected.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/07/2026

CVE-2026-15546

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security flaw has been discovered in Shibby Tomato up to 1.28.0000. Affected by this issue is the function sub_2D568 of the component start_jffs2. Performing a manipulation of the argument jffs2_exec results in os command injection. Remote exploitation of the attack is possible. The exploit has been released to the public and may be used for attacks. This project is superseded by FreshTomato.
Gravedad CVSS v4.0: BAJA
Última modificación:
13/07/2026

CVE-2026-6850

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 11.7.x
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/07/2026

CVE-2026-10103

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 11.7.x
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2026

CVE-2026-14453

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** This vulnerability is a critical Server-Side Template Injection (SSTI) in Centreon&amp;#39;s centreon-open-tickets module that leads to Remote Code Execution. The message_confirm field is stored without sanitization and rendered via Smarty with no security policy enabled, allowing any authenticated user, to inject and execute arbitrary code on the server. This results in disclosure of environment secrets and could impact platform availability of Centreon Infra Monitoring product.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/07/2026

CVE-2026-10106

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 11.7.x
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/07/2026

CVE-2026-10085

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 11.7.x
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2026

CVE-2026-15544

Fecha de publicación:
13/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was determined in Shibby Tomato up to 1.28.0000. Affected is the function getupsvar of the file www/apcupsd/tomatodata.cgi of the component apcupsd. This manipulation of the argument Field causes stack-based buffer overflow. The attack may be initiated remotely. The exploit has been publicly disclosed and may be utilized. This project is superseded by FreshTomato.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/07/2026