Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-46518

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 8.0.0.1, a stored cross-site scripting vulnerability in the prescription CSS/HTML multi-print feature allows a patient portal user to execute arbitrary JavaScript in a clinician's browser session. Patient demographic fields (name, address) are rendered without output encoding in multiprintcss_header(), and portal patients can write attacker-controlled HTML directly into patient_data by calling the PUT api/patient/:num endpoint, which bypasses the intended audit review workflow. Because the XSS fires in the clinician's authenticated session on the main OpenEMR interface, the attacker can access CSRF tokens, session data, and perform actions as the clinician — crossing the patient-to-clinician trust boundary. This issue has been patched in version 8.0.0.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2026

CVE-2026-46517

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** LMDeploy is a toolkit for compressing, deploying, and serving large language models. In versions 0.12.3 and prior, hardcoded "trust_remote_code=True" enables HF supply-chain RCE without user opt-in. At time of publication, there are no publicly available patches.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2026

CVE-2026-44716

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Pipecat is an open-source Python framework for building real-time voice and multimodal conversational agents. From version 0.0.90 to before version 1.2.0, a path traversal vulnerability exists in Pipecat's development runner (src/pipecat/runner/run.py). When the runner is started with the --folder flag, it exposes a GET /files/{filename:path} download endpoint. The filename path parameter is concatenated directly onto args.folder with no containment check. Starlette normalises literal ../ sequences in URLs, but %2F-encoded slashes bypass this normalisation: the path parameter is URL-decoded after routing, so ..%2F..%2Fetc%2Fpasswd resolves to a path two levels above args.folder. An attacker with network access to the runner can read any file the pipecat process has permission to access — including SSH private keys, credentials, and system files — with a single unauthenticated HTTP request. This issue has been patched in version 1.2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2026

CVE-2026-41726

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** When an application opts into DelegatingDeserializer, a producer can grow the consumer&amp;#39;s heap without bound by sending records with unique random spring.kafka.serialization.selector header values, eventually causing GC thrash and OutOfMemoryError.<br /> <br /> Affected versions:<br /> Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2026

CVE-2026-41727

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Kafka&amp;#39;s retry topic infrastructure did not sufficiently validate user-controlled header values before acting on them. A producer could send a record with a crafted retry_topic-attempts header to supply an out-of-range attempt count and cause the retry topic router to misidentify where the message was in the retry sequence.<br /> <br /> Affected versions:<br /> Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2026

CVE-2026-41728

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Data REST&amp;#39;s JSON Patch (application/json-patch+json) implementation does not apply the write-access filter to intermediate path segments when resolving a multi-segment JSON Pointer.<br /> <br /> Affected versions:<br /> Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2026

CVE-2026-41729

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Data REST is vulnerable to SpEL expression injection through map-typed properties when processing JSON Patch (application/json-patch+json) requests. When a persistent entity exposes a Map-typed property, the JSON Pointer path segment used as the map key is embedded directly into a SpEL expression without sanitization or validation.<br /> <br /> Affected versions:<br /> Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2026

CVE-2026-41730

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Data REST serializes the full exception cause chain into HTTP error response bodies, potentially exposing persistence-layer internals to HTTP clients.<br /> <br /> Affected versions:<br /> Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2026

CVE-2026-41731

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** JsonKafkaHeaderMapper and the deprecated DefaultKafkaHeaderMapper matched type headers against trusted packages using a prefix check, meaning that trusting any package implicitly trusted all of its subpackages. Combined with Jackson&amp;#39;s default bean deserialization, a producer could supply crafted header values that caused the consumer to deserialize arbitrary JDK types.<br /> <br /> Affected versions:<br /> Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2026

CVE-2026-41732

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** JsonPulsarHeaderMapper matched type headers against trusted packages using a prefix check, meaning that trusting any package implicitly trusted all of its subpackages. Additionally, an empty trusted-packages configuration fell back to trusting all packages rather than applying a safe default allow-list.<br /> <br /> Affected versions:<br /> Spring for Apache Pulsar 2.0.0 through 2.0.5; 1.2.0 through 1.2.17; 1.1.0 through 1.1.17.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2026

CVE-2026-41837

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Data REST&amp;#39;s Querydsl integration accepts arbitrary persistent property paths as request-parameter filter keys and does not consider Jackson customizations before handing them to Querydsl.<br /> <br /> Affected versions:<br /> Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2026

CVE-2026-44505

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Nimiq is a Rust implementation of the Nimiq Proof-of-Stake protocol based on the Albatross consensus algorithm. network-libp2p handles kad get-record query progress in handle_dht_get (network-libp2p/src/swarm.rs). Prior to version 1.4.0, when a peer returns a FoundRecord, the code verifies the record via dht_verifier.verify(&amp;record.record). On verifier error, handle_dht_get logs and returns early without completing the oneshot used by Network::dht_get, and without cleaning up per-query bookkeeping. Later query progress can hit the "DHT inconsistent state" path and also return without cleanup. Because Network::dht_get awaits the oneshot without a timeout, the caller future can hang indefinitely. This issue has been patched in version 1.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2026