Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-15691

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security flaw has been discovered in Tenda BE12 Pro 16.03.66.23. This affects the function fromSafeClientFilter of the file /goform/SafeClientFilter. Performing a manipulation of the argument page results in stack-based buffer overflow. The attack is possible to be carried out remotely. The exploit has been released to the public and may be used for attacks.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2026

CVE-2026-15305

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Users were able to upload files with arbitrary MIME types to forms using FileUpload or ImageUpload elements with allowedMimeTypes configured. The restriction was not enforced server-side because the MimeTypeValidator was registered during form building before concrete form definition properties were applied, resulting in the validator never being added to the processing pipeline. This issue affects TYPO3 CMS versions 14.2.0-14.3.4.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2026

CVE-2026-12588

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An attacker with access to an HX 10.0.0  and previous versions, may send specially-crafted data to the HX console. The malicious detection would then trigger decompression of a large file that consumes an excessive amount of system resources thus causing a Denial of Service.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2026

CVE-2026-10577

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security issue exists within the 1715-AENTR EtherNet/IP Adapter. The affected product exposes a network-accessible debug port that does not enforce proper privilege controls, allowing unauthenticated remote access to intrusive command-line interface (CLI) commands. If exploited, a threat actor could read or delete files, stop tasks, modify memory, and change I/O states, potentially impacting the confidentiality, integrity, and availability of the device.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
14/07/2026

CVE-2026-9341

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Academy LMS – WordPress LMS Plugin for Complete eLearning Solution plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 3.8.0 via the 'save_lesson_note', 'get_lesson_note', and 'complete_lesson_video' AJAX handlers due to missing validation on a user controlled key. This makes it possible for authenticated attackers, with Subscriber-level access and above, to read, overwrite, or delete the private lesson notes of any other user (including administrators), and to falsify lesson-completion progress for arbitrary users.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2026

CVE-2026-15690

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was identified in open62541 up to 1.5.5. Affected by this issue is the function responseReadNamespacesArray of the file src/client/ua_client_connect.c of the component Shared Client Library. Such manipulation of the argument Server_NamespaceArray leads to null pointer dereference. The attack can be executed remotely. The attack requires a high level of complexity. The exploitation is known to be difficult. The exploit is publicly available and might be used. The project closed the issue report, stating that this is not the official way to report a security vulnerability.
Gravedad CVSS v4.0: BAJA
Última modificación:
14/07/2026

CVE-2026-15389

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability relating to insufficient access control has been identified in the session management of the Sesame Time web application and its REST v3 API. The flaw lies in the fact that the system uses the session identifier (USID) as the sole validation mechanism, without verifying whether that identifier legitimately belongs to the user making the request. As a result, an attacker who obtains a valid USID can impersonate a victim’s session and access their confidential information, including emails, user IDs, roles and corporate data. This vulnerability is exacerbated by poor session lifecycle management: new logins generate additional USIDs without revoking the previous ones, allowing multiple active sessions to coexist and thereby expanding the attack surface.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2026

CVE-2026-62422

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** In JetBrains YouTrack before 2026.1.13757,<br /> 2025.3.148033,<br /> 2025.2.148048,<br /> 2025.1.148120,<br /> 2024.3.148430,<br /> 2024.2.148429 authentication bypass via direct database access leading to administrative access was possible
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2026

CVE-2026-58319

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Certain Apache Doris FE HTTP REST administrative APIs were accessible without proper authentication. An unauthenticated attacker with network access to the FE HTTP service could perform unauthorized administrative operations, potentially affecting cluster integrity and availability and leading to cluster instability or denial of service. <br /> <br /> This issue affects Apache Doris versions prior to 3.1.0. Users are advised to upgrade to Apache Doris 3.1.0 or later.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/07/2026

CVE-2026-54429

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been identified in SIMATIC S7-PLCSIM Advanced (All versions). Affected devices do not properly handle high-volume multicast network traffic, which can exhaust available memory resources in the affected application. This could allow an unauthenticated attacker on the local network segment to cause a denial-of-service condition of the affected application. The affected application becomes inaccessible and requires a manual restart; no project data is lost. Successful exploitation requires a specific project configuration to be already active on the targeted instance.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2026

CVE-2026-56451

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been identified in Opcenter X (All versions
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/07/2026

CVE-2026-3014

Fecha de publicación:
14/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Milestone<br /> has released a new version of XProtect® (and several cumulative patch updates)<br /> which fix security vulnerability in Management Server API.<br /> <br /> <br /> <br /> The vulnerability<br /> causes users with edit permissions to the Management Server to be able to<br /> execute arbitrary code in context of the Management Server Service.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/07/2026