Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2024-58357

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** SurrealDB versions before 2.1.0 contain an uncaught exception vulnerability in the rand::time() function that panics when unwrap is called on a None result from timestamp_opt. Authorized clients can repeatedly invoke rand::time() to reliably trigger server panics and cause denial of service.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/07/2026

CVE-2024-58358

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** SurrealDB versions before 2.1.0 contain a denial of service vulnerability in role conversion that allows privileged owner users to define users with nonexistent roles. Attackers can trigger an uncaught panic by signing in with a user assigned an invalid role, crashing the server.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/07/2026

CVE-2024-58359

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** SurrealDB versions before 2.1.0 contain a denial of service vulnerability in the sorting mechanism when using ORDER BY rand() clause. Authorized clients can execute queries with ORDER BY rand() to trigger a panic in the sorting function, crashing the server.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/07/2026

CVE-2024-58361

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** SurrealDB versions before 2.0.4 contain an uncaught exception handling vulnerability in the parser error rendering code when processing empty strings. Authorized clients can execute malformed queries with empty string conversions to record, duration, or datetime types that cause a panic in error rendering, crashing the server.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/07/2026

CVE-2023-54366

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** SurrealDB before 1.0.1 sets default table permissions to FULL instead of NONE, allowing SELECT, CREATE, UPDATE, and DELETE operations on tables without explicit permissions. Attackers with database access or unauthenticated users on publicly exposed instances can perform unrestricted operations on unprotected tables within their authorization scope.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/07/2026

CVE-2026-16158

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Impact: @fastify/reply-from versions from 8.3.1 up to but not including 12.6.4 build the internal URL cache key by concatenating the destination and source path without a delimiter. Different destination and source pairs can therefore produce the same key while resolving to different upstream URLs. When getUpstream selects an upstream from request data, a URL cached for one upstream can be reused for a request intended for another upstream, causing cross-upstream data access and modification. The default configuration is affected. Setting disableCache to true prevents the behavior. Patches: upgrade to @fastify/reply-from 12.6.4. Workarounds: pass disableCache: true when registering the plugin.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/07/2026

CVE-2026-9147

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** uproot dynamically generates Python class source code from ROOT TStreamerInfo records in a file and compiles it at runtime. Some file-controlled streamer metadata fields (for example, streamer element names) are interpolated into the generated Python source without safe quoting via repr() or the !r format specifier. An attacker who can supply a crafted ROOT file can place Python expression-breaking content into a streamer metadata field. When uproot generates and invokes the corresponding reader method, the injected Python expression is evaluated in the context of the process opening the file, resulting in arbitrary Python code execution in applications that open or process attacker-controlled ROOT files with affected uproot code paths.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/07/2026

CVE-2026-59173

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Uncontrolled Resource Consumption vulnerability in Apache Traffic Server.<br /> <br /> This issue affects Apache Traffic Server: from 9.0.0 through 9.1.13, from 10.0.0 through 10.1.2.<br /> <br /> Users are recommended to upgrade to version 9.1.14 or 10.1.3, which fixes the issue.
Gravedad: Pendiente de análisis
Última modificación:
18/07/2026

CVE-2026-15631

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Impact: @fastify/http-proxy versions from 9.4.0 up to and including 11.5.0 fail to validate the resolved WebSocket destination path against the configured rewrite prefix. The WebSocket routing path in WebSocketProxy.findUpstream resolves the destination via the WHATWG URL constructor, which collapses dot segments, so a crafted upgrade request with path traversal sequences can escape the rewrite prefix and reach upstream endpoints that were not meant to be exposed by the proxy. This is a variant of CVE-2021-21322 in a code path that never went through the HTTP fix in fastify/reply-from. Exploitation requires a non-normalizing WebSocket client, since browsers and the ws package normalize the request path before sending, but raw HTTP clients or downstream proxies that forward the request target unchanged make the attack reachable in production topologies. <br /> <br /> Patches: upgrade to @fastify/http-proxy 11.6.0. <br /> <br /> Workarounds: none.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/07/2026

CVE-2026-16096

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been found in Shibby Tomato 1.28 RT-N5x MIPSR2 Build 124. This affects the function sub_40BB50 of the file /proc/webmon_recent_domains. The manipulation leads to stack-based buffer overflow. It is possible to initiate the attack remotely. This project is superseded by FreshTomato.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/07/2026

CVE-2026-16097

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was found in Shibby Tomato 1.28. This vulnerability affects the function sub_42537C of the component Scheduler Name Handler. The manipulation of the argument a1 results in stack-based buffer overflow. It is possible to launch the attack remotely. This project is superseded by FreshTomato.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/07/2026

CVE-2026-16095

Fecha de publicación:
18/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw has been found in Shibby Tomato 1.28 RT-N5x MIPSR2 Build 124. Affected by this issue is the function setup_conntrack of the file /sbin/rc. Executing a manipulation of the argument ct_tcp_timeout can lead to out-of-bounds write. The attack may be performed from remote. This project is superseded by FreshTomato.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/07/2026