Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-0288

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Multiple buffer overflow vulnerabilities in the User-ID Terminal Server Agent (TSA) component of Palo Alto Networks PAN-OS software allow an unauthenticated attacker with network access to cause a denial of service (DoS) condition or potentially execute arbitrary code by sending specially crafted network traffic.<br /> <br /> The security risk posed by this issue is minimized when the User-ID Terminal Server Agent connectivity is restricted to only trusted internal IP addresses according to our recommended best practice deployment guidelines https://docs.paloaltonetworks.com/ngfw/help/10-2/user-identification/device-user-identification-terminal-services-agents#:~:text=To%20minimize%20security%20risk%2C%20restrict%20TS%20Agent%20connectivity%20to%20trusted%20internal%20IP%20addresses%20only. .<br /> <br /> Panorama is not impacted by this vulnerability.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/07/2026

CVE-2025-12506

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** GitLab has remediated an issue in GitLab CE/EE affecting all versions from 16.5 before 18.11.7, 19.0 before 19.0.4, and 19.1 before 19.1.2 that under certain conditions could have allowed an authenticated user to create a repository where the content displayed in the web interface differed from the content available for download, due to improper handling of Git reference name resolution.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2026

CVE-2026-8801

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Path equivalence: vulnerability in Progress MOVEit Transfer (File Upload modules).<br /> <br /> This issue affects MOVEit Transfer: before 2025.0.8, from 2025.1.0 before 2025.1.4.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2026

CVE-2026-8800

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect Authorization vulnerability in Progress MOVEit Transfer (Audit User module).<br /> <br /> This issue affects MOVEit Transfer: before 2025.0.7, from 2025.1.0 before 2025.1.3.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2026

CVE-2026-8651

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Limited authentication bypass by spoofing vulnerability in Progress MOVEit Transfer (HTTPS module).<br /> <br /> This issue affects MOVEit Transfer: before 2025.0.7, from 2025.1.0 before 2025.1.3.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2026

CVE-2026-8650

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Relative path traversal vulnerability in Progress MOVEit Transfer (Admin Settings module).<br /> <br /> This issue affects MOVEit Transfer: before 2025.0.7, from 2025.1.0 before 2025.1.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2026

CVE-2026-8649

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Special Elements in Data Query Logic vulnerability in Progress MOVEit Transfer (Custom Reports modules).<br /> <br /> This issue affects MOVEit Transfer: before 2025.0.7, from 2025.1.0 before 2025.1.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2026

CVE-2026-60104

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Bitwarden Server before 2026.6.0 does not verify that the email in a POST /auth-requests/admin-request body belongs to the authenticated caller, allowing a low-privileged organization member to obtain another user&amp;#39;s vault key and a victim-scoped access token by creating a Trusted Device Encryption authentication request, bound to an attacker-controlled public key, that is readable from an unauthenticated endpoint once approved resulting in disclosure of the victim&amp;#39;s vault key and account takeover.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
14/07/2026

CVE-2026-59936

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** pypdf is a free and open-source pure-python PDF library. Prior to 6.14.1, an attacker can craft a PDF with a page content stream containing a not terminated inline image, causing an infinite loop during inline image end marker detection such as when extracting page text. This issue is fixed in version 6.14.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/07/2026

CVE-2026-59935

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** pypdf is a free and open-source pure-python PDF library. Prior to 6.14.2, an attacker can craft a PDF with a page content stream containing a not terminated inline image that uses the ASCII85 or ASCIIHex filters, causing an infinite loop during parsing such as when extracting page text. This issue is fixed in version 6.14.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/07/2026

CVE-2026-59947

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Composer is a dependency Manager for the PHP language. Prior to 2.2.29 and 2.10.2, when Composer is run with -vvv debug verbosity, it could print a credential embedded in the username slot of a repository or package URL, such as a GitHub Personal Access Token in https://TOKEN@host/, to debug output because AuthHelper, Url::sanitize, and ProcessExecutor did not sanitize username-only URL credentials. This issue is fixed in versions 2.2.29 and 2.10.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2026

CVE-2026-59946

Fecha de publicación:
08/07/2026
Idioma:
Inglés
*** Pendiente de traducción *** Composer is a dependency Manager for the PHP language. Prior to 2.2.29 and 2.10.2, a Composer package bin entry containing .. path segments can resolve outside the package install directory and cause Composer&amp;#39;s binary installation flow to chmod an existing host file to a world-readable and world-executable mode during composer install, update, or require. This issue is fixed in versions 2.2.29 and 2.10.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2026