Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-68851
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Unauthenticated Cross Site Scripting (XSS) in Okay Toolkit
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2025-68872
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Unauthenticated Cross Site Scripting (XSS) in Eli's WordCents adSense Widget with Analytics
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2025-69332
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Subscriber Broken Access Control in Bookify
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2026

CVE-2025-59133
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Custom role Insecure Direct Object References (IDOR) in Projectopia
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-54444
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ]** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2026-49489. Reason: This candidate is a duplicate of CVE-2026-49489. Notes: All CVE users should reference CVE-2026-49489 instead of this candidate.
Gravedad: Pendiente de análisis
Última modificación:
15/06/2026

CVE-2026-54292
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2026-12074. Reason: This candidate is a duplicate of CVE-2026-12074. Notes: All CVE users should reference CVE-2026-12074 instead of this candidate.
Gravedad: Pendiente de análisis
Última modificación:
15/06/2026

CVE-2026-54294
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2026-12072. Reason: This candidate is a duplicate of CVE-2026-12072. Notes: All CVE users should reference CVE-2026-12072 instead of this candidate.
Gravedad: Pendiente de análisis
Última modificación:
15/06/2026

CVE-2026-54295
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2026-12061. Reason: This candidate is a duplicate of CVE-2026-12061. Notes: All CVE users should reference CVE-2026-12061 instead of this candidate.
Gravedad: Pendiente de análisis
Última modificación:
15/06/2026

CVE-2026-54296
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2026-12075. Reason: This candidate is a duplicate of CVE-2026-12075. Notes: All CVE users should reference CVE-2026-12075 instead of this candidate.
Gravedad: Pendiente de análisis
Última modificación:
15/06/2026

CVE-2026-53703
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was found in the GStreamer RealMedia demuxer (gst-plugins-ugly). When processing a RealMedia (.rm) file, the demuxer parses MDPR (media properties) chunks to configure audio streams. For audio stream header versions 4 and 5, the parser reads fields such as codec type, packet size, sample rate, channel count, and extra codec data length from fixed offsets within the chunk without first checking that the chunk contains enough data. If a malicious file provides an MDPR chunk that is too small to contain a complete audio stream header, the parser reads beyond the end of the buffer. This can cause the application to crash. In some cases, bytes read past the buffer boundary may be incorporated into stream metadata, which could result in limited information disclosure.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-53704
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in GStreamer's RealMedia demuxer in the gst-plugins-ugly package. When processing a RealMedia file containing a specially crafted FILEINFO metadata section, the demuxer parses variable-name and variable-value pairs using re_skip_pascal_string() without validating that offsets remain within the mapped buffer. Additionally, the element count controlling the parsing loop is read from attacker-controlled data without validation, which can cause an infinite loop. A crafted RealMedia file can cause the application to crash, hang, or potentially read limited adjacent memory contents.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-53705
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in GStreamer's WavPack audio decoder in gst-plugins-good. When processing a specially crafted WavPack file, an integer overflow in the buffer size calculation (4 * block_samples * channels) in gst_wavpack_dec_handle_frame() causes a very small heap allocation. The WavPack library then writes decoded audio samples far beyond the allocated buffer, resulting in heap memory corruption. This affects both 32-bit and 64-bit systems since the arithmetic is performed in 32-bit integers before promotion to the allocation size type. A remote attacker could use this flaw to crash an application or potentially execute arbitrary code by convincing a user to open a malicious WavPack audio file.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026
Suscribirse a Vulnerabilidades