Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-49877

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Authorization vulnerability in Apache ActiveMQ.<br /> <br /> An authenticated low-privilege Web Console user by default can access /admin/* paths in the Web Console. The default Jetty settings incorrectly did not limit those paths to only admins.<br /> This issue affects Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7.<br /> <br /> Users are recommended to upgrade to version 6.2.7 or 5.19.8, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-49434

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Input Validation vulnerability in Apache ActiveMQ Broker, Apache ActiveMQ, Apache ActiveMQ All.<br /> <br /> An attacker that has access to publish or modify entries in LDAP that match the configured searchBase and searchFilter can instantiate denied transports inside the broker JVM. This can be used to fetch an attacker URL and spawn a second BrokerService inside the same JVM.<br /> This issue affects Apache ActiveMQ Broker: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ All: before 5.19.8, from 6.0.0 before 6.2.7.<br /> <br /> <br /> Users are recommended to upgrade to version 6.2.7 or 5.19.8, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-49432

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Input Validation vulnerability in Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ Stomp.<br /> <br /> A remote unauthenticated peer that can reach an exposed STOMP connector can trigger denial-of-service behavior by sending a negative content-length. For the NIO STOMP transport, an attacker can keep streaming body bytes and grow the per-connection command buffer beyond configured limits to cause OOM. For the blocking STOMP protocol, an error will instead force abnormal transport exception handling for the affected connection and closure.<br /> This issue affects Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ All: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ Stomp: before 5.19.8, from 6.0.0 before 6.2.7.<br /> <br /> <br /> <br /> <br /> Users are recommended to upgrade to version 6.2.7 or 5.19.8, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-13316

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw has been found in foreman when HTTP parameters are modified in http_proxies_controller and http_proxy files. Attackers can perform an SSRF attack and steal cloud metadata service on AWS/GCP/Azure environment through foreman component.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2026

CVE-2026-8141

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Ajax Load More - Filters plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the &amp;#39;taxonomy_include_children&amp;#39; parameter in all versions up to, and including, 3.4.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2026

CVE-2026-9711

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The EventON - WordPress Virtual Event Calendar Plugin plugin for WordPress (full) is vulnerable to SQL Injection via the WordPress &amp;#39;search&amp;#39; parameter in versions up to, and including, 5.0.11 due to insufficient escaping on the user supplied parameter and lack of preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database, granted the "Enable additional search queries" setting is enabled and at least one published event exists.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2026

CVE-2026-6954

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Scripting (XSS) vulnerability in Intermark IT&amp;#39;s WebControl CMS v3.5. This vulnerability allows an attacker to execute JavaScript code or inject a dynamic iframe into the victim’s browser by sending a malicious URL via the &amp;#39;urlDestino&amp;#39; parameter in &amp;#39;/portal.do&amp;#39;. This vulnerability can be exploited to steal sensitive user data, such as session cookies, display phishing interfaces, or perform actions on the user’s behalf.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/06/2026

CVE-2026-6953

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** HTML injection vulnerability in Intermark IT&amp;#39;s WebControl CMS v3.5. This vulnerability allows an attacker to send an email containing malicious HTML code to a victim via the contact form. To exploit this vulnerability, the attacker must send a request using the &amp;#39;nombreApellidos&amp;#39;, &amp;#39;dirección &amp;#39;, and &amp;#39;comentarios &amp;#39; parameters to &amp;#39;/processContact.do&amp;#39;.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/06/2026

CVE-2026-10763

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** PROMOD V is using insecure HTTP communication instead of HTTPS. The vulnerability is due to the lack of HTTPS support from 3rd party Digipede server.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/06/2026

CVE-2026-12076

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Raytha CMS is vulnerable to SQL Injection within the OData filter parsing pipeline.  The vulnerability allows a remote, unauthenticated attacker to execute <br /> arbitrary SQL statements against the underlying PostgreSQL database, <br /> leading to full database compromise, including credential extraction.<br /> <br /> Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 1.5.2 but may also affect other versions.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/06/2026

CVE-2026-12610

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in sssd. When authenticating with a YubiKey, the SSSD PAM responder can crash due to a use-after-free vulnerability, where a memory pointer is incorrectly handled. A local attacker could exploit this flaw by manipulating smartcard or YubiKey contents, leading to a denial of service that disrupts authentication. This vulnerability also presents a potential for privilege escalation, although it is difficult to exploit.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2026

CVE-2026-13149

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** brace-expansion through 5.0.6 is vulnerable to denial of service. The expand() function exhibits exponential-time complexity in the number of consecutive non-expanding &amp;#39;{}&amp;#39; brace groups. An attacker who passes a crafted string to expand(), directly or transitively, can cause significant CPU consumption and event-loop blocking. The max option does not mitigate this, as it bounds the output size rather than the recursion work.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/07/2026