Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-41689

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Wallos is an open-source, self-hostable personal subscription tracker. In versions 4.8.4 and prior, the webhook notification feature reuses an administrator-configured local-target allowlist for every logged-in user. Any normal user can fully control a webhook URL, headers, and body, then use Wallos to send server-side requests to allowlisted internal automation services. When such a target exposes deployment or execution APIs, this can further enable adjacent-service RCE, but that downstream result is conditional on the target service. At time of publication, there are no publicly available patches.

Gravedad CVSS v3.1: MEDIA

Última modificación:

07/05/2026

CVE-2026-41505

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** RELATE is a web-based courseware package. Prior to commit 2f68e16, RELATE is vulnerable to predictable token generation in auth.py&#39;s make_sign_in_key() function and exam.py&#39;s gen_ticket_code() function. This issue has been patched via commit 2f68e16.

Gravedad CVSS v3.1: ALTA

Última modificación:

07/05/2026

CVE-2026-41519

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Weblate is a web based localization tool. Prior to version 5.17.1, when a user changes their password, browser sessions are correctly invalidated via "cycle_session_keys()", but DRF API tokens ("wlu_*" prefix) stored in "authtoken_token" are not revoked. This issue has been patched in version 5.17.1.

Gravedad CVSS v3.1: MEDIA

Última modificación:

11/05/2026

CVE-2026-41654

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Weblate is a web based localization tool. Prior to version 5.17.1, an authenticated user with project.add permission (default on hosted Weblate SaaS and for any user holding an active billing/trial plan) can import a crafted project backup ZIP whose components/.json contains an attacker-chosen repo URL pointing at a private address (e.g. http://127.0.0.1:9999/) or using a non-allow-listed scheme (e.g. file://, git://). Weblate persists the component via Component.objects.bulk_create([component])[0], which bypasses Django&#39;s full_clean() and therefore never runs the validate_repo_url validator. The URL is subsequently written verbatim into .git/config by configure_repo(pull=False). This issue has been patched in version 5.17.1.

Gravedad CVSS v4.0: MEDIA

Última modificación:

11/05/2026

CVE-2026-41650

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** fast-xml-parser allows users to process XML from JS object without C/C++ based libraries or callbacks. Prior to version 5.7.0, XMLBuilder does not escape the "-->" sequence in comment content or the "]]>" sequence in CDATA sections when building XML from JavaScript objects. This allows XML injection when user-controlled data flows into comments or CDATA elements, leading to XSS, SOAP injection, or data manipulation. This issue has been patched in version 5.7.0.

Gravedad CVSS v3.1: MEDIA

Última modificación:

12/05/2026

CVE-2026-41422

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Daptin is a GraphQL/JSON-API headless CMS. Prior to version 0.11.4, the /aggregate/:typename endpoint accepted column and group query parameters that were passed verbatim to goqu.L() — a raw SQL literal expression builder — without any validation. This bypassed all parameterization and allowed authenticated users with any valid session to inject arbitrary SQL expressions. This issue has been patched in version 0.11.4.

Gravedad CVSS v3.1: ALTA

Última modificación:

07/05/2026

CVE-2026-32686

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Uncontrolled Resource Consumption vulnerability in ericmj decimal allows unauthenticated remote Denial of Service. The decimal library does not bound the exponent on parsed input. Storing a decimal with a very large exponent (e.g. Decimal.new("1e1000000000")) is accepted without error. Subsequent calls to arithmetic functions (Decimal.add/2, Decimal.sub/2, Decimal.div/2), Decimal.to_string/2 with :normal or :xsd format, Decimal.to_integer/1, Decimal.round/3, or Decimal.compare/3 with a threshold allocate memory proportional to the exponent value, which can exhaust available memory and crash the BEAM VM. Any application that accepts user-supplied decimal input and subsequently performs arithmetic, rounding, conversion to integer, or string formatting on it is exposed. A single malicious request is sufficient to cause an out-of-memory crash. This issue affects decimal: from 0.1.0 before 3.0.0.

Gravedad CVSS v4.0: MEDIA

Última modificación:

08/05/2026

CVE-2026-36458

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** ChestnutCMS v1.5.10 has a SQL injection vulnerability. The content parameter of the cms_content tag can be manipulated in the admin backend and injected into a SQL query when the template is rendered.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

08/05/2026

CVE-2025-63705

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** NPM package node-ts-ocr 1.0.15 is vulnerable to OS Command Injection via the invokeImageOcr function in src/index.js.

Gravedad CVSS v3.1: ALTA

Última modificación:

08/05/2026

CVE-2025-63706

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** NPM package next-npm-version1.0.1 is vulnerable to Command injection.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

08/05/2026

CVE-2025-67202

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Sidekiq-cron thru 2.3.1, an open-source scheduling add-on for Sidekiq, is vulnerable to a cross-site scripting (xss) vulnerability via crafted URL being rended from cron.erb.

Gravedad CVSS v3.1: MEDIA

Última modificación:

08/05/2026

CVE-2026-6795

Fecha de publicación:

07/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** URL redirection to untrusted site (&#39;open redirect&#39;) vulnerability in DivvyDrive Information Technologies Inc. DivvyDrive allows Parameter Injection. This issue affects DivvyDrive: from 4.8.2.9 before 4.8.3.2.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

07/05/2026

Suscribirse a Vulnerabilidades