Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-45251

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A file descriptor can be closed while a thread is blocked in a poll(2) or select(2) call waiting for that descriptor. Because the blocked thread does not hold a reference to the underlying object, this closure may result in the object being freed while the thread remains blocked. In this situation, the kernel must remove the blocked thread from the per-object wait queue prior to freeing the object. In the case of some file descriptor types, the kernel failed to unlink blocked threads from the object before freeing it. When the blocked thread is subsequently woken, it accesses memory that has already been freed resulting in a use-after-free vulnerability. The use-after-free vulnerability may be triggered by an unprivileged local user and can be exploited to obtain superuser privileges.

Gravedad CVSS v3.1: ALTA

Última modificación:

21/05/2026

CVE-2026-41999

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Incorrect Behaviour of Views with TCP PROXY Requests

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/05/2026

CVE-2026-42000

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Insufficient Validation of Names During AXFR

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/05/2026

CVE-2026-42001

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Insufficient Validation of Autoprimary SOA Queries

Gravedad CVSS v3.1: ALTA

Última modificación:

21/05/2026

CVE-2026-42002

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Concurrency and locking defects in GSS-TSIG

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/05/2026

CVE-2026-42396

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Insufficient Validation of Member Zone Data May Cause Catalog Zone Transfer to Fail

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/05/2026

CVE-2026-39461

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** libcasper(3) communicates with helper processes via UNIX domain sockets, and uses the select(2) system call to wait for data to become available. However, it does not verify that its socket descriptor fits within select(2)&#39;s descriptor set size limit of FD_SETSIZE (1024). An attacker able to cause an application using libcasper(3) to allocate large file descriptors, e.g., by opening many descriptors and executing a program which is not careful to close them upon startup, may trigger stack corruption. If the target application runs with setuid root privileges, this could be used to escalate local privileges.

Gravedad CVSS v3.1: ALTA

Última modificación:

21/05/2026

CVE-2026-28764

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** MediaArea MediaInfoLib LXF element parsing heap-based buffer overflow vulnerability

Gravedad CVSS v3.1: ALTA

Última modificación:

21/05/2026

CVE-2026-7837

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** A time-of-check time-of-use (TOCTOU) condition in the ad_flush function in Netatalk 3.0.0 through 4.4.2 involves root-privileged file operations, which may allow a remote attacker to cause limited data modification under specific race conditions.

Gravedad CVSS v3.1: BAJA

Última modificación:

21/05/2026

CVE-2026-9157

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Improper input validation, Unrestricted upload of file with dangerous type vulnerability in Gmission Web Fax allows Remote Code Inclusion. This issue affects Web Fax: from 3.0 before 3.1.

Gravedad CVSS v4.0: ALTA

Última modificación:

21/05/2026

CVE-2026-5433

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Honeywell Control Network Module (CNM) contains command injection vulnerability in the web interface. An attacker could exploit this vulnerability via command delimiters, potentially resulting in Remote Code Execution (RCE).

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

21/05/2026

CVE-2026-5434

Fecha de publicación:

21/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Honeywell Control Network Module (CNM) contains insertion of sensitive information into an unintended directory. An attacker could exploit this vulnerability through probing system files, potentially resulting in unintended access to protected data.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/05/2026

Suscribirse a Vulnerabilidades