Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-33523
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** HTTP response splitting vulnerability in multiple Apache HTTP Server modules with untrusted or compromised backend servers.<br /> <br /> This issue affects Apache HTTP Server: from through 2.4.66.<br /> <br /> Users are recommended to upgrade to version 2.4.67, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/05/2026

CVE-2026-33007
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A NULL pointer dereference in the mod_authn_socache in Apache HTTP Server 2.4.66 and earlier allows an unauthenticated remote user to crash a child process in a caching forward proxy configuration.<br /> <br /> Users are recommended to upgrade to version 2.4.67, which fixes this issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/05/2026

CVE-2025-70070
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in Assimp v.6.0.2 allows a remote attacker to cause a denial of service via the FBXMeshGeometry.cpp, MeshGeometry::MeshGeometry()
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2026

CVE-2025-70072
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in Assimp v.6.0.2 allows a remote attacker to cause a denial of service via the FBXConverter.cpp, FBXConverter::ConvertMeshMultiMaterial() components
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2026

CVE-2026-29169
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A NULL pointer dereference in mod_dav_lock in Apache HTTP Server 2.4.66 and earlier may allow an attacker to crash the server with a malicious request.mod_dav_lock is not used internally by mod_dav or mod_dav_fs.<br /> <br /> The only known use-case for mod_dav_lock was mod_dav_svn from Apache Subversion earlier than version 1.2.0.<br /> <br /> Users are recommended to upgrade to version 2.4.66, which fixes this issue, or remove mod_dav_lock.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2026

CVE-2026-33006
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A timing attack against mod_auth_digest in Apache HTTP Server 2.4.66 allows a bypass of Digest authentication by a remote attacker.<br /> <br /> Users are recommended to upgrade to version 2.4.67, which fixes this issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/05/2026

CVE-2026-23918
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Double Free and possible RCE vulnerability in Apache HTTP Server with the HTTP/2 protocol.<br /> <br /> This issue affects Apache HTTP Server: 2.4.66.<br /> <br /> Users are recommended to upgrade to version 2.4.67, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/05/2026

CVE-2025-13605
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** 3onedata modbus gateway device model GW1101-1D(RS-485)-TB-P (hardware version V2.2.0) allows authenticated users to execute arbitrary shell commands in the context of the root user by providing payload in the "IP address" field of the diagnosis test tools.<br /> This issue has been resolved in firmware version 3.0.59B2024080600R4353
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
05/05/2026

CVE-2026-6499
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect Permission Assignment for Critical Resource vulnerability in ILM Informatique OpenConcerto allows Replace Binaries.<br /> <br /> This issue affects OpenConcerto: 1.7.5.
Gravedad CVSS v4.0: BAJA
Última modificación:
05/05/2026

CVE-2026-4928
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
04/05/2026

CVE-2026-6266
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the AAP gateway. The user auto-link strategy, introduced in AAP 2.6, automatically links an external Identity Provider (IDP) identity to an existing AAP user account based on email matching without verifying email ownership. This allows a remote attacker to potentially hijack a victim&amp;#39;s account or gain unauthorized access to other accounts, including administrative accounts, by manipulating the IDP-provided email.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/05/2026

CVE-2026-34032
Fecha de publicación:
04/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Null Termination, Out-of-bounds Read vulnerability in Apache HTTP Server.<br /> <br /> This issue affects Apache HTTP Server: through 2.4.66.<br /> <br /> Users are recommended to upgrade to version 2.4.67, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/05/2026
Suscribirse a Vulnerabilidades