Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-10140

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of API clients across tenant boundaries. An authenticated attacker can manipulate cache state to cause requests from other users to be processed using incorrect upstream API credentials, leading to cross-tenant billing and accountability misattribution.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2026

CVE-2026-11712

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Application Server 9.0, and 8.5 is affected by a cross-site scripting vulnerability in the administrative console help system.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2026

CVE-2026-11708

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Application Server 9.0, and 8.5 is affected by a cross-site scripting vulnerability in the administrative console's integrated help system.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2026

CVE-2026-11595

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Application Server 9.0, and 8.5 could allow a remote attacker to obtain sensitive information from the administrative console's integrated help system.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2026

CVE-2026-11546

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Application Server - Liberty 17.0.0.3 through 26.0.0.7 is affected by a server-side request forgery vulnerability with the adminCenter-1.0 feature enabled.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-10109

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Db2 11.5.0 through 11.5.9, and 12.1.0 through 12.1.4 is vulnerable to remote code execution due to improper pre-auth DRDA handshake handling.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2026

CVE-2026-10129

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.9.3 contains a Server-Side Request Forgery (SSRF) protection bypass vulnerability in the API Request component. An authenticated attacker with low-level privileges (flow author role) can bypass SSRF protections by enabling the follow_redirects parameter and supplying a public URL that redirects to internal/localhost addresses. The vulnerability exists because the application validates only the initial URL but does not re-validate redirect destinations. This allows attackers to access internal HTTP services, localhost endpoints, cloud metadata services, and private network resources that should be unreachable when SSRF protection is enabled. Successful exploitation can lead to disclosure of sensitive information including credentials, tokens, internal API responses, and administrative panel data.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2026

CVE-2026-10134

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process, read and modify every flow, conversation, message, file upload, and saved component in the Langflow database, can connect to internal services, abuse cloud metadata endpoints, laterally move to other tenants on the same Langflow instance, and Establish persistence by modifying the public flow's `tool_code` so normal `/api/v1/build/...` calls by any user re-execute attacker code at each build.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2026

CVE-2025-36372

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Db2 11.5.0 through 11.5.9, and 12.1.0 through 12.1.4 for Linux, UNIX and Windows (includes Db2 Connect Server) could disclose sensitive information to an authenticated user from the monitoring and event tables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2026

CVE-2026-58138

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Orkes Conductor 3.21.21 before 3.30.2 contains an unauthenticated remote code execution vulnerability that allows remote attackers to execute arbitrary OS commands by submitting inline workflow definitions containing malicious JavaScript or Python expressions to the workflow API endpoint prior to authentication. Attackers can exploit unsandboxed GraalVM evaluators configured with HostAccess.ALL or allowAllAccess(true) through INLINE, LAMBDA, DO_WHILE, and SWITCH task types to invoke arbitrary system commands via Java reflection or direct subprocess calls.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2026

CVE-2026-10513

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Webmention plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to and including 5.8.0 via parser-derived 'avatar' and 'url' author metadata. This is due to insufficient input sanitization and output escaping on user-supplied MF2 author properties processed by the unauthenticated webmention REST endpoint and rendered directly into HTML 'value' attributes by the edit-comment-form template without esc_attr() or esc_url(). This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a privileged user (moderator or administrator) opens the affected comment edit screen.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/07/2026

CVE-2026-58377

Fecha de publicación:
30/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** JeecgBoot through 3.9.2 contains a broken access control vulnerability that allows authenticated low-privilege users to perform full create, read, update, and delete operations on OpenAPI credentials by accessing the OpenApiAuthController and OpenApiPermissionController endpoints which lack Shiro authorization annotations. Attackers can exploit the unenforced access controls to list, add, edit, and delete all AK/SK credential pairs, with the list endpoint returning secret keys in plaintext, enabling credential theft and unauthorized invocation of the OpenAPI surface.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/07/2026