Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-39360
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** RustFS is a distributed object storage system built in Rust. Prior to alpha.90, RustFS contains a missing authorization check in the multipart copy path (UploadPartCopy). A low-privileged user who cannot read objects from a victim bucket can still exfiltrate victim objects by copying them into an attacker-controlled multipart upload and completing the upload. This breaks tenant isolation in multi-user / multi-tenant deployments. This vulnerability is fixed in alpha.90.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/04/2026

CVE-2026-39351
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Frappe is a full-stack web application framework. Prior to 16.14.0 and 15.104.0, Frappe allows unrestricted Doctype access via API exploit.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/04/2026

CVE-2026-39354
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Scoold is a Q&A and a knowledge sharing platform for teams. Prior to 1.66.2, an authenticated authorization flaw in Scoold allows any logged-in, low-privilege user to overwrite another user's existing question by supplying that question's public ID as the postId parameter to POST /questions/ask. Because question IDs are exposed in normal question URLs, a low-privilege attacker can take a victim question ID from a public page and cause attacker-controlled content to be stored under that existing question object. This causes direct integrity loss of user-generated content and corrupts the integrity of the existing discussion thread. This vulnerability is fixed in 1.66.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/04/2026

CVE-2026-39348
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OrangeHRM is a comprehensive human resource management (HRM) system. From 5.0 to 5.8, OrangeHRM Open Source omits authorization on job specification and vacancy attachment download handlers, allowing authenticated low-privilege users to read attachments via direct reference to attachment identifiers. This vulnerability is fixed in 5.8.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/04/2026

CVE-2026-39345
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OrangeHRM is a comprehensive human resource management (HRM) system. From 5.0 to 5.8, OrangeHRM Open Source fails to restrict email template file resolution to the intended plugins directory, allowing an authenticated actor who can influence the template path to read arbitrary local files. This vulnerability is fixed in 5.8.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/04/2026

CVE-2026-39346
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OrangeHRM is a comprehensive human resource management (HRM) system. From 5.0 to 5.8, OrangeHRM Open Source allowed authenticated users to bypass disabled-module access controls via URL-encoded request paths and access functionality of modules disabled by an administrator. This vulnerability is fixed in 5.8.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/04/2026

CVE-2026-39347
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OrangeHRM is a comprehensive human resource management (HRM) system. From 5.0 to 5.8, OrangeHRM Open Source accepts changes to self-appraisal submissions for administrator users after those submissions have been marked completed, breaking integrity of finalized appraisal records. This vulnerability is fixed in 5.8.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/04/2026

CVE-2026-22711
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of alternate XSS syntax vulnerability in The Wikimedia Foundation Mediawiki - Wikilove Extension allows Cross-Site Scripting (XSS).The issue has been remediated on the `master` branch, and in the release branches for MediaWiki versions 1.43, 1.44, and 1.45.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/04/2026

CVE-2025-71058
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Dual DHCP DNS Server 8.01 improperly accepts and caches UDP DNS responses without validating that the response originates from a legitimate configured upstream DNS server. The implementation matches responses primarily by TXID and inserts results into the cache, enabling a remote attacker to inject forged responses and poison the DNS cache, potentially redirecting victims to attacker-controlled destinations.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/04/2026

CVE-2026-39343
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** ChurchCRM is an open-source church management system. Prior to 7.1.0, a SQL injection vulnerability exists in the EditEventTypes.php file, which is only accessible to administrators. The EN_tyid POST parameter is not sanitized before being used in a SQL query, allowing an administrator to execute arbitrary SQL commands directly against the database. This vulnerability is fixed in 7.1.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2026

CVE-2026-39341
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** ChurchCRM is an open-source church management system. Prior to 7.1.0, the application is vulnerable to time-based SQL injection due to an improper input validation. Endpoint Reports/ConfirmReportEmail.php?familyId= is not correctly sanitising user input, specifically, the sanitised input is not used to create the SQL query. This vulnerability is fixed in 7.1.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2026

CVE-2026-39342
Fecha de publicación:
07/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** ChurchCRM is an open-source church management system. Prior to 7.1.0, the searchwhat parameter via QueryView.php with the QueryID=15 is vulnerable to a SQL injection. The authenticated user requires access to Data/Reports > Query Menu and access to the "Advanced Search" query. This vulnerability is fixed in 7.1.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
09/04/2026
Suscribirse a Vulnerabilidades