Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-0256

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A stored cross-site scripting (XSS) vulnerability in Palo Alto Networks PAN-OS® software enables a malicious authenticated administrator to store a JavaScript payload using the web interface. This issue is applicable to PAN-OS software on PA-Series and VM-Series firewalls and on Panorama (virtual and M-Series). Cloud NGFW and Prisma® Access are not impacted by this vulnerability.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0249

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Multiple improper certificate validation vulnerabilities in the Palo Alto Networks GlobalProtect™ app enables an attacker to intercept encrypted communications and potentially compromise the endpoint. This can enable a local non-administrative operating system user or an attacker on the same subnet to redirect traffic to an unauthorized server and facilitate the installation of malicious software. The GlobalProtect app on Linux, Windows, iOS and GlobalProtect UWP app are not affected.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0250

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A buffer overflow vulnerability exists in the Palo Alto Networks GlobalProtect™ app that enables a man in the middle attacker to disrupt system processes and potentially execute arbitrary code with SYSTEM privileges. This vulnerability is triggered during the processing of requests and responses exchanged between Portal and Gateway. The GlobalProtect app on iOS is not affected.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0251

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Multiple local privilege escalation vulnerabilities in the Palo Alto Networks GlobalProtect™ app allow a local user to escalate their privileges to NT AUTHORITY\SYSTEM on Windows and root on macOS and Linux. This enables a non-administrative user to execute arbitrary commands with administrative privileges. The GlobalProtect app on iOS, Android, Chrome OS and GlobalProtect UWP app are not affected.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0242

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A SQL injection vulnerability in Trust Protection Foundation allows an authenticated attacker to execute arbitrary SQL commands against the product database. Successful exploitation could allow an attacker to read sensitive data, modify database contents, and escalate privileges to gain full administrative control of the platform.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0244

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** An improper certificate validation vulnerability in the Palo Alto Networks Prisma SD-WAN ION enables man-in-the-middle (MitM) attacker to impersonate the controller.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0245

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Multiple information disclosure vulnerabilities in Prisma Access Agent® allow a local user to access sensitive configuration data and credentials. The Prisma Access Agent on Linux, ChromeOS, Android, and iOS are not affected.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0246

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability with a privilege management mechanism in the Palo Alto Networks Prisma Access Agent® enables a locally authenticated non-administrative user to escalate their privileges to root on macOS and Linux or NT AUTHORITY\SYSTEM on Windows. This allows the user to execute arbitrary code and read sensitive information otherwise accessible only to privileged accounts. The Prisma Access Agent on iOS, Android and Chrome OS are not affected.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0247

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Multiple authorization bypass vulnerabilities in the Endpoint DLP component of Prisma Access Agent® allow a local attacker to bypass authentication controls and execute privileged operations.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0248

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** An improper certificate validation vulnerability in the Prisma Access Agent® for Android and Chrome OS enables an attacker to perform a man-in-the-middle (MitM) attack to intercept VPN traffic. By presenting a certificate for any domain issued by a trusted Certificate Authority, the attacker can capture sensitive device information. The Prisma Access Agent on macOS, Windows, Linux and iOS are not affected.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/05/2026

CVE-2026-0236

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A code injection vulnerability in Palo Alto Networks Prisma® Browser on macOS fails to properly restrict access to its AppleScript interface allowing a locally authenticated non-admin user to leverage this exposed Apple Event handler to send unauthorized commands to the browser.

Gravedad CVSS v4.0: ALTA

Última modificación:

14/05/2026

CVE-2026-0238

Fecha de publicación:

13/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in Palo Alto Networks Broker VM allows an authenticated administrator to inject arbitrary content into certain Broker VM fields.

Gravedad CVSS v4.0: BAJA

Última modificación:

14/05/2026

Suscribirse a Vulnerabilidades