Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-36236
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** SourceCodester Engineers Online Portal v1.0 is vulnerable to SQL Injection in update_password.php via the new_password parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2026

CVE-2026-36232
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** A SQL injection vulnerability was found in the instructorClasses.php file of itsourcecode Online Student Enrollment System v1.0. The reason for this issue is that the 'classId' parameter from $_GET['classId'] is directly concatenated into the SQL query without any sanitization or validation.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2026

CVE-2026-36233
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** A SQL injection vulnerability was found in the assignInstructorSubjects.php file of itsourcecode Online Student Enrollment System v1.0. The reason for this issue is that attackers can inject malicious code via the parameter "subjcode" and use it directly in SQL queries without the need for appropriate cleaning or validation.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2026

CVE-2026-36234
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** itsourcecode Online Student Enrollment System v1.0 is vulnerable to SQL Injection in newCourse.php via the 'coursename' parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2026

CVE-2026-31262
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Cross Site Scripting vulnerability in Altenar Sportsbook Software Platform (SB2) v.2.0 allows a remote attacker to obtain sensitive information and execute arbitrary code via the URL parameter
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/04/2026

CVE-2026-23782
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. An API management endpoint allows unauthenticated users to obtain both an API identifier and its corresponding secret value. With these exposed secrets, an attacker could invoke privileged API operations, potentially leading to unauthorized access.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2026

CVE-2026-23780
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. A SQL injection vulnerability in the MFT API's debug interface allows an authenticated attacker to inject malicious queries due to improper input validation and unsafe dynamic SQL handling. Successful exploitation can enable arbitrary file read/write operations and potentially lead to remote code execution.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2026

CVE-2026-29861
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** PHP-MYSQL-User-Login-System v1.0 was discovered to contain a SQL injection vulnerability via the username parameter at login.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/04/2026

CVE-2025-44560
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** owntone-server 2ca10d9 is vulnerable to Buffer Overflow due to lack of recursive checking.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/04/2026

CVE-2026-6069
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** NASM’s disasm() function contains a stack based buffer overflow when formatting disassembly output, allowing an attacker triggered out-of-bounds write when `slen` exceeds the buffer capacity.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/04/2026

CVE-2026-6067
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** A heap buffer overflow vulnerability exists in the Netwide Assembler (NASM) due to a lack of bounds checking in the obj_directive() function. This vulnerability can be exploited by a user assembling a malicious .asm file, potentially leading to heap memory corruption, denial of service (crash), and arbitrary code execution.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2026

CVE-2026-6068
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** NASM contains a heap use after free vulnerability in response file (-@) processing where a dangling pointer to freed memory is stored in the global depend_file and later dereferenced, as the response-file buffer is freed before the pointer is used, allowing for data corruption or remote code execution.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026
Suscribirse a Vulnerabilidades