Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-13772

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Extreme Scale 8.6.1.0 through 8.6.1.6 's Object Query Language engine resolves attacker-supplied class names via Class.forName() and invokes their constructors with no allow-list at three distinct sinks (SELECT NEW, enum literals, and reflection-based comparators); an authenticated remote attacker who can influence an application-built OQL query string can execute arbitrary constructors on the WAS JVM, and a SELECT DISTINCT variant using planted grid values fires the same gadget post-readObject in a manner that survives JEP-290 serialization filters across grid node boundaries
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2026

CVE-2026-11806

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Application Server - Liberty 17.0.0.3 through 26.0.0.6 is affected by an arbitrary file read vulnerability with the restConnector-2.0 feature enabled.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-11714

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Application Server - Liberty 17.0.0.3 through 26.0.0.7 is affected by a server-side request forgery vulnerability with the apiDiscovery-1.0 feature enabled.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-13449

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Business Automation Manager Open Editions 9.0.0 through 9.4.2 is vulnerable to an XML external entity injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-12085

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM UCD - IBM UrbanCode Deploy 7.3 through 7.3.2.18 and IBM UCD - IBM DevOps Deploy 8.0 through 8.0.1.13, 8.1 through 8.1.2.6, and 8.2 through 8.2.1.0 IBM DevOps Deploy could disclose sensitive configurations and secrets to authenticated users in API responses that could be used in further attacks against the system.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2026

CVE-2026-12086

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM UCD - IBM UrbanCode Deploy 7.2 through 7.2.3.23, and 7.3 through 7.3.2.18 and IBM UCD - IBM DevOps Deploy 8.0 through 8.0.1.13, 8.1 through 8.1.2.6, and 8.2 through 8.2.1.0 stores potentially sensitive information in log files that could be read by a local user.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2026

CVE-2026-11906

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Db2 11.5.0 through 11.5.9, and 12.1.0 through 12.1.4 for Linux, UNIX and Windows (includes Db2 Connect Server) could allow an authenticated user to cause a denial of service due to improper neutralization of special elements in the data query logic of XMLTable-derived columns.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2026

CVE-2026-12084

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM UCD - IBM DevOps Deploy 8.1 through 8.1.2.6, and 8.2 through 8.2.1.0 uses Cross-Origin Resource Sharing (CORS) which could allow an attacker to carry out privileged actions and retrieve sensitive information as the domain name is not being limited to only trusted domains.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2026

CVE-2026-13759

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Extreme Scale 8.6.1.0 through 8.6.1.6 ships three ObjectInputStream subclasses (WsObjectInputStream, ObjectStreamPool$ReusableInputStream, ObjectInputStreamResolver) that install no JEP-290 class filter; when Coherence is on the classpath, multiple RCE gadget chains including RemoteConstructor.readResolve and PriorityQueue/ExtractorComparator are confirmed working, allowing a post-login attacker who can write a session attribute or a LAN-adjacent attacker on the grid replication wire to execute arbitrary code on peer WAS JVMs
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2026

CVE-2026-10564

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.9.6 contains a Server-Side Request Forgery (SSRF). The legacy RSSReaderComponent in rss.py and SearXNG component in searxng.py make unvalidated HTTP requests to user-controlled URLs, bypassing SSRF protections introduced in version 1.9.3. An authenticated attacker can exploit this to access internal resources including cloud metadata services (AWS/Azure/GCP IMDS), potentially exfiltrating IAM credentials and enumerating internal networks. The vulnerability can also be triggered through prompt injection in agentic workflows due to tool_mode=True exposure.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-10560

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.9.6 contains a missing authentication vulnerability in /api/v1/build_public_tmp/ endpoints that allows an unauthenticated attacker to read build event data or cancel jobs using a valid job identifier, resulting in information disclosure and denial of service.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-10546

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.9.3 contains a Server-Side Request Forgery (SSRF) vulnerability in the URL component ( src/lfx/src/lfx/components/data_source/url.py ) due to a Time-of-Check/Time-of-Use (TOCTOU) race condition that can be exploited via DNS rebinding.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026