Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-36027

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in Code27 Companion Hub SQ3A.220705.003.A1 allows a physically proximate attacker to execute arbitrary code via the USB debugging (ADB) and Android Debug Bridge components
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2026

CVE-2026-14361

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The consul-template library before version 0.42.1 is vulnerable to a path redirection issue in the writeToFile template helper that may allow template output to be written outside the intended directory or to overwrite an existing file. This vulnerability (CVE-2026-14361) is fixed in consul-template 0.42.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-59938

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** pypdf is a free and open-source pure-python PDF library. Prior to 6.14.0, an attacker can craft a PDF with declared image size values that are much too large compared to the actual data, causing large memory usage in pypdf image parsing. This issue is fixed in version 6.14.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/07/2026

CVE-2026-59937

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** pypdf is a free and open-source pure-python PDF library. Prior to 6.14.0, an attacker can craft a PDF with repeated malformed cross-reference streams that cause pypdf to spend long runtimes recovering broken cross-reference table entries. This issue is fixed in version 6.14.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/07/2026

CVE-2026-14362

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** HashiCorp memberlist before version 0.6.0 is vulnerable to a denial-of-service issue in its push/pull state handling that may allow an attacker with network access to the gossip port to exhaust memory on a receiving node and cause the process to terminate. This vulnerability (CVE-2026-14362) is fixed in memberlist 0.6.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-50812

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A NULL pointer dereference in the SQLite Session Extension in SQLite 3.53.1 and SQLite trunk builds before check-in e807d4e3798efd53 allows an attacker who can supply a malformed changeset blob to cause a denial of service. The issue occurs when sqlite3changeset_apply_v3() applies a corrupt changeset and reaches sqlite3_value_type() with a NULL sqlite3_value pointer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-50813

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in SQLite before Fossil check-in 869a51ae84df allows a local attacker to obtain sensitive information via the Session Extension changeset concat/changegroup merge path
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-59930

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mistune is a Python Markdown parser with renderers and plugins. Prior to 3.3.0, the toc plugin and TableOfContents directive generate heading IDs as predictable toc_N values without slugifying the heading text, allowing attacker-controlled id="toc_N" content to collide with generated anchors and redirect same-page navigation, CSS selectors, or JavaScript handlers. This issue is fixed in version 3.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-59929

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mistune is a Python Markdown parser with renderers and plugins. Prior to 3.3.0, the safe_url filter in src/mistune/renderers/html.py blocks only javascript:, vbscript:, file:, and data: schemes, allowing legacy or chained schemes such as feed:, view-source:, jar:, livescript:, mocha:, ms-its:, mk:, and res: to reach rendered href and src attributes and potentially execute script in affected user agents. This issue is fixed in version 3.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-59928

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mistune is a Python Markdown parser with renderers and plugins. Prior to 3.3.0, a Markdown document containing many repeated or distinct reference-link definitions causes quadratic work in src/mistune/block_parser.py and the ref_links environment dictionary handling, allowing denial of service through CPU exhaustion. This issue is fixed in version 3.3.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2026

CVE-2026-59927

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mistune is a Python Markdown parser with renderers and plugins. Prior to 3.3.0, the Include directive in src/mistune/directives/include.py detects only direct self-includes and not indirect cycles, allowing two markdown files that include each other to trigger unbounded recursion, raise RecursionError, and crash the rendering request. This issue is fixed in version 3.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-59924

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mistune is a Python Markdown parser with renderers and plugins. Prior to 3.3.0, Include.parse() joins and normalizes user-supplied include paths without verifying that the result remains within the intended markdown directory, allowing crafted include paths to access files outside that directory when markdown files are processed using md.read(). This issue is fixed in version 3.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026