Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-4890
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A Denial of Service (DoS) vulnerability in the DNSSEC validation of dnsmasq allows remote attackers to cause a denial of service via a crafted DNS packet.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2026

CVE-2026-4891
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A heap-based out-of-bounds read vulnerability in the DNSSEC validation of dnsmasq allows remote attackers to cause a denial of service via a crafted DNS packet.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2026

CVE-2026-4892
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A heap-based out-of-bounds write vulnerability in the DHCPv6 implementation of dnsmasq allows local attackers to execute arbitrary code with root privileges via a crafted DHCPv6 packet.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2026

CVE-2026-4893
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An information disclosure vulnerability in dnsmasq allows remote attackers to bypass source checks via a crafted DNS packet with RFC 7871 client subnet information.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2026

CVE-2026-45000
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.20 contains a server-side request forgery vulnerability in browser CDP profile creation that skips strict-mode SSRF policy checks. Attackers can create stored profiles pointing to private-network or metadata endpoints that bypass security policies and are later probed during normal profile status operations.
Gravedad CVSS v4.0: BAJA
Última modificación:
13/05/2026

CVE-2026-45001
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.20 contains a guard bypass vulnerability in the agent-facing gateway config.patch and config.apply endpoints that fails to protect operator-trusted settings including sandbox policy, plugin enablement, gateway auth/TLS, hook routing, MCP server configuration, SSRF policy, and filesystem hardening. A prompt-injected model with access to the owner-only gateway tool can persist unauthorized changes to protected operator settings.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/05/2026

CVE-2026-45002
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.20 contains a hook session-key bypass vulnerability that allows attackers to circumvent the hooks.allowRequestSessionKey opt-in restriction. Attackers can render externally influenced session keys through templated hook mappings to bypass webhook routing isolation controls.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/05/2026

CVE-2026-45003
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.22 allows workspace dotenv files to override connector endpoint hosts for Matrix, Mattermost, IRC, and Synology connectors. Attackers with workspace access can redirect runtime traffic to malicious endpoints by setting endpoint variables in dotenv files.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/05/2026

CVE-2026-45004
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.23 contains an arbitrary code execution vulnerability in the bundled plugin setup resolver that loads setup-api.js from process.cwd() during provider setup metadata resolution. Attackers can execute arbitrary JavaScript under the current user account by placing a malicious extensions//setup-api.js file in a repository and convincing a user to run OpenClaw commands from that directory.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/05/2026

CVE-2026-45005
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.23 caches resolved webhook route secrets backed by SecretRef values, allowing stale secrets to remain valid after rotation and reload. Attackers with previously valid webhook route secrets can continue authenticating requests and invoking configured webhook task flows until gateway or plugin restart.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/05/2026

CVE-2026-45006
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.23 contains an improper access control vulnerability in the gateway tool's config.apply and config.patch operations that allows compromised models to write unsafe configuration changes by bypassing an incomplete denylist protection. Attackers can persist malicious config modifications affecting command execution, network behavior, credentials, and operator policies that survive restart.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/05/2026

CVE-2026-44993
Fecha de publicación:
11/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.20 contains a message classification vulnerability in Feishu card-action callbacks that misclassifies direct messages as group conversations. Attackers can bypass dmPolicy enforcement by triggering card-action flows in direct message conversations that should have been blocked by restrictive policies.
Gravedad CVSS v4.0: BAJA
Última modificación:
13/05/2026
Suscribirse a Vulnerabilidades