Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-55078

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coder allows organizations to provision remote development environments via Terraform. Starting in version 2.17.0 and prior to versions 2.29.7, 2.32.7, 2.33.8, and 2.34.2, `POST /api/v2/files` converts zip uploads to tar in memory via `CreateTarFromZip`, which enforced a per-entry size limit but no aggregate limit on total decompressed output, writing to an unbounded in-memory buffer. Exploitation requires authenticated file-upload access and the impact is limited to availability (denial of service). The fix in versions 2.29.7, 2.32.7, 2.33.8, and 2.34.2 adds a metadata preflight check that sums projected entry sizes and a streaming writer that enforces the aggregate limit during decompression. As a workaround, restrict file-upload permissions to trusted users or place a reverse proxy with request-body size limits in front of `coderd`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2026

CVE-2026-59704

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Cap's GET /api/video/ai endpoint fails to validate user ownership or membership before returning private video AI metadata including titles, summaries, and chapters. Authenticated attackers can supply arbitrary video IDs to read sensitive AI-generated content and trigger unauthorized AI generation that consumes the video owner's credits without consent.
Gravedad CVSS v4.0: ALTA
Última modificación:
07/07/2026

CVE-2026-59705

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** mem0's openmemory/api component contains an unauthenticated access vulnerability that allows unauthenticated attackers to read, write, and delete arbitrary user memories by accessing API routers registered without authentication middleware. Attackers can supply arbitrary user_id parameters or directly access memory retrieval endpoints to expose private memory content, or invoke pause endpoints with global_pause=true to cause denial-of-service across all users.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
07/07/2026

CVE-2026-14739

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** DBI versions before 1.650 for Perl have a heap overflow when preparsing SQL statements with an extreme number of placeholders.<br /> <br /> The fix for CVE-2026-10879 did not allocate enough memory to handle approximately 1.2-million placeholders.<br /> <br /> DBI version 1.650 sets a hard limit of 99,999 placeholders.
Gravedad: Pendiente de análisis
Última modificación:
07/07/2026

CVE-2026-36162

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated stored cross-site scripting (XSS) vulnerability in the Upload File Shares API of LiquidFiles v4.2.7 allows attackers to execute arbitrary Javascript or HTML via injecting a crafted payload into the Name parameter.
Gravedad: Pendiente de análisis
Última modificación:
07/07/2026

CVE-2026-36163

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An HTML injection vulnerability in the file view endpoint of LiquidFiles v4.2.7 allows authenticated attackers to execute arbitrary JavaScript in the context of the victim&amp;#39;s browser via the uploading of and user interaction with a crafted HTML file.
Gravedad: Pendiente de análisis
Última modificación:
07/07/2026

CVE-2026-37270

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Trueview Security camera T18161- AF v4.9.60.0 contains an authentication bypass vulnerability caused by improper password validation and the presence of hard-coded credentials in the firmware.
Gravedad: Pendiente de análisis
Última modificación:
07/07/2026

CVE-2026-37271

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Fire-Boltt Smartwatch FB BGS001 Firmware: MOY-JS14-2.0.4 is vulnerable to Improper Authentication, The device accepts GATT Write Request commands without sufficient authentication or strong session validation. Under specific conditions, previously captured BLE packets can be replayed from a nearby device to trigger functionality on the smartwatch.
Gravedad: Pendiente de análisis
Última modificación:
07/07/2026

CVE-2026-50810

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A NULL pointer dereference in smooth_parse_stream_index() in src/media_tools/mpd.c in GPAC master HEAD before commit b35c61f104b85fbb16520ac2838d5d2ef70845b5 allows attackers to cause a denial of service
Gravedad: Pendiente de análisis
Última modificación:
07/07/2026

CVE-2026-14740

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** DBI versions before 1.650 for Perl read one byte out-of-bounds in preparse when deleting an initial SQL comment.<br /> <br /> The preparse method normalises SQL and removes comments. When the SQL starts with a comment line, the deletion of that line during normalisation led to an out-of-bounds read by one byte. The result is a fault on memory-hardened builds and nondeterministic newline retention on normal builds.
Gravedad: Pendiente de análisis
Última modificación:
08/07/2026

CVE-2026-14895

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** String::Util versions before 1.36 for Perl are susceptible to a regular expression denial of service.<br /> <br /> The trim and rtrim functions stripped trailing whitespace with s/\s*$//u. Because \s* matches greedily and the $ anchor fails whenever a non-whitespace character follows the whitespace, the regex engine retries the match at each offset of a long whitespace run, producing quadratic backtracking. The fix replaces \s*$ with \s+$.<br /> <br /> Any caller that passes untrusted input to trim or rtrim can trigger CPU exhaustion with a string containing a long run of whitespace.
Gravedad: Pendiente de análisis
Última modificación:
08/07/2026

CVE-2026-14380

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** DBI versions before 1.650 for Perl are vulnerable to code injection via caller-influenced Profile.<br /> <br /> When a string is assigned to a DBI handle&amp;#39;s Profile attribute, DBI splits it into path, package and arguments, and interpolates the package part in a string eval with no validation of the package name.<br /> <br /> Any caller-influenced value that reaches the Profile attribute is therefore arbitrary Perl code execution, including calls to run system commands.<br /> <br /> The Profile attribute can be set from three different sources that can carry untrusted data: the DBI_PROFILE environment variable, a direct attribute assignment, and a DSN driver-attribute clause dbi:Driver(Profile=&gt;SPEC):db.<br /> <br /> An attacker controlling any of those inputs runs arbitrary Perl in the host process. The strongest remote position is a network-exposed DBI::Gofer / DBI::ProxyServer whose per-request DSN reaches the Profile attribute, letting a client execute code on the broker host.
Gravedad: Pendiente de análisis
Última modificación:
08/07/2026