Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-10834

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** The WP Travel Engine WordPress plugin before 6.8.1 does not properly validate the source of a user-supplied profile image path before moving the file, allowing authenticated users with subscriber-level access and above to relocate arbitrary files within the WordPress uploads directory into their own profile-image path. This removes the targeted media from its original location and can break content across the site.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-42201

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.474, database credential fields (redis_password, keydb_password, dragonfly_password, clickhouse_admin_user, clickhouse_admin_password, postgres_user, mysql_user) are validated only as 'string' at the API layer, with zero shell-safety checks. These values are then interpolated directly into Docker Compose YAML command: strings without any escaping. This issue is fixed in version 4.0.0-beta.474.
Gravedad CVSS v3.1: BAJA
Última modificación:
07/07/2026

CVE-2026-26053

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** An Incorrect Privilege Assignment (CWE-266) vulnerability in the Command Centre Server allows an authenticated operator with limited privileges to perform some operations that they would not normally be authorized to perform. Version of Command Centre affected: 9.50 prior to vEL9.50.1587(MR1), 9.40 prior to vEL9.40.3130(MR3), 9.30 prior to vEL9.30.3983(MR5), 9.20 prior to vEL9.20.4349(MR7), all versions of 9.10.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2026

CVE-2026-27790

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Uncaught Exception (CWE-248) in the T20 Readers allows an authenticated and authorized operator to trigger a restart by sending specific requests, resulting in a temporary denial of service. Version of Command Centre affected:<br /> <br /> <br /> <br /> <br /> <br /> * 9.50 prior to vCR9.50.260616a (distributed in 9.50.1587(MR1))<br /> * 9.40 prior to vCR9.40.260616a (distributed in 9.40.3130(MR3))<br /> * 9.30 prior to vCR9.30.260616a (distributed in 9.30.3983(MR5))<br /> * 9.20 prior to vCR9.20.260616a (distributed in 9.20.4349(MR7))<br /> * all versions of 9.10 and prior.
Gravedad CVSS v3.1: BAJA
Última modificación:
07/07/2026

CVE-2026-27844

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Uncaught Exception (CWE-248) in the Controller 6000 and Controller 7000 diagnostic web interface allows an authenticated and authorized operator to trigger a Controller restart by sending specific requests, resulting in a temporary denial of service. <br /> Version of Command Centre affected:<br /> <br /> <br /> <br /> <br /> <br /> * 9.50 prior to vCR9.50.260616a (distributed in 9.50.1587(MR1))<br /> * 9.40 prior to vCR9.40.260616a (distributed in 9.40.3130(MR3))<br /> * 9.30 prior to vCR9.30.260616a (distributed in 9.30.3983(MR5))<br /> * 9.20 prior to vCR9.20.260616a (distributed in 9.20.4349(MR7))<br /> * all versions of 9.10 and prior.
Gravedad CVSS v3.1: BAJA
Última modificación:
07/07/2026

CVE-2026-34158

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.469, the executeInDocker() helper wraps user-controlled commands in single quotes without escaping embedded single quotes. Attackers who can edit application settings can inject a single quote into docker_compose_custom_build_command or docker_compose_custom_start_command to break out of the quoted context and execute arbitrary commands on the managed server host during deployments, escaping the intended Docker container confinement. This issue is fixed in version 4.0.0-beta.469.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026

CVE-2026-42200

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.474, PostgreSQL initialization script (generate_init_scripts() method in app/Actions/Database/StartPostgresql.php) filename handling did not sufficiently restrict paths, allowing an authenticated user to write files outside the intended directory and achieve command execution through database initialization. This issue is fixed in version 4.0.0-beta.474.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026

CVE-2026-42172

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.474, Sanctum API tokens did not expire, allowing a leaked token to retain access indefinitely until manually revoked. This issue is fixed in version 4.0.0-beta.474.
Gravedad CVSS v3.1: BAJA
Última modificación:
07/07/2026

CVE-2026-42143

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.471, user-controlled persistent volume names are interpolated into shell commands executed on managed servers without escaping or validation, allowing an authenticated member to inject shell metacharacters and execute commands as root when volume operations are triggered. This issue appears to be fixed in version 4.0.0-beta.471.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026

CVE-2026-42147

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.474, S3 storage endpoint validation only checks URL format and testConnection() sends a server-side request to the configured endpoint, allowing an authenticated user with storage management permissions to make Coolify request internal or metadata-service URLs. This issue is fixed in version 4.0.0-beta.474.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2026

CVE-2026-42145

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.474, the file upload endpoint (app/Http/Controllers/UploadController.php) for database backup restore uploads did not enforce file type or size validation, allowing an authenticated user to upload unexpected or oversized files that could affect service availability. This issue is fixed in version 4.0.0-beta.474.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2026

CVE-2026-34171

Fecha de publicación:
07/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.471, the GET /invitations/{uuid} endpoint can perform a state-changing password reset using an attacker-known invitation UUID, allowing an attacker who can cause a victim to visit the crafted invitation URL to reset the victim account password to a predictable value. This issue is fixed in version 4.0.0-beta.471.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2026