Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-34802
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the remark user ham spam parameter to /cgi-bin/salearn.cgi. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/04/2026

CVE-2026-34796
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow authenticated users to execute arbitrary OS commands via the DATE parameter to /cgi-bin/logs_openvpn.cgi. The DATE parameter value is used to construct a file path that is passed to a Perl open() call, which allows command injection due to an incomplete regular expression validation.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

CVE-2026-34797
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow authenticated users to execute arbitrary OS commands via the DATE parameter to /cgi-bin/logs_smtp.cgi. The DATE parameter value is used to construct a file path that is passed to a Perl open() call, which allows command injection due to an incomplete regular expression validation.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

CVE-2026-34798
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the remark parameter to /cgi-bin/routing.cgi. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/04/2026

CVE-2026-34794
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow authenticated users to execute arbitrary OS commands via the DATE parameter to /cgi-bin/logs_ids.cgi. The DATE parameter value is used to construct a file path that is passed to a Perl open() call, which allows command injection due to an incomplete regular expression validation.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

CVE-2026-34795
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow authenticated users to execute arbitrary OS commands via the DATE parameter to /cgi-bin/logs_log.cgi. The DATE parameter value is used to construct a file path that is passed to a Perl open() call, which allows command injection due to an incomplete regular expression validation.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

CVE-2026-34792
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow authenticated users to execute arbitrary OS commands via the DATE parameter to /cgi-bin/logs_clamav.cgi. The DATE parameter value is used to construct a file path that is passed to a Perl open() call, which allows command injection due to an incomplete regular expression validation.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

CVE-2026-34793
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow authenticated users to execute arbitrary OS commands via the DATE parameter to /cgi-bin/logs_firewall.cgi. The DATE parameter value is used to construct a file path that is passed to a Perl open() call, which allows command injection due to an incomplete regular expression validation.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

CVE-2026-34729
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** phpMyFAQ is an open source FAQ web application. Prior to version 4.1.1, there is a stored XSS vulnerability via Regex Bypass in Filter::removeAttributes(). This issue has been patched in version 4.1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026

CVE-2026-34790
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow authenticated users to delete arbitrary files via directory traversal in the remove ARCHIVE parameter to /cgi-bin/backup.cgi. The remove ARCHIVE parameter value is used to construct a file path without sanitization of directory traversal sequences, which is then passed to an unlink() call.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

CVE-2026-34791
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Endian Firewall version 3.3.25 and prior allow authenticated users to execute arbitrary OS commands via the DATE parameter to /cgi-bin/logs_proxy.cgi. The DATE parameter value is used to construct a file path that is passed to a Perl open() call, which allows command injection due to an incomplete regular expression validation.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

CVE-2026-34728
Fecha de publicación:
02/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** phpMyFAQ is an open source FAQ web application. Prior to version 4.1.1, the MediaBrowserController::index() method handles file deletion for the media browser. When the fileRemove action is triggered, the user-supplied name parameter is concatenated with the base upload directory path without any path traversal validation. The FILTER_SANITIZE_SPECIAL_CHARS filter only encodes HTML special characters (&, ', ", ) and characters with ASCII value
Gravedad CVSS v3.1: ALTA
Última modificación:
02/04/2026
Suscribirse a Vulnerabilidades