Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-52718
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A denial of service vulnerability was found in GStreamer's AV1 codec parser in gst-plugins-bad. The gst_av1_parser_parse_tile_list_obu() function passes a byte count to a bit-reader API that expects a bit count, causing parser desynchronization. A remote attacker could trick a user into opening a specially crafted AV1 media file, triggering an assertion abort and causing the application to crash.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2026

CVE-2026-52719
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An out-of-bounds read vulnerability was found in the VA JPEG decoder in GStreamer's gst-plugins-bad. The JPEG parser reads a segment length value from the bitstream without validating it against available data. A remote attacker could trick a user into opening a specially crafted JPEG file, causing downstream parsing to read beyond the provided input buffer, leading to a crash or potential information disclosure.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-52720
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A heap buffer overflow vulnerability was found in GStreamer's librfb (RFB/VNC client). The rectangle bounds check incorrectly validates area rather than individual dimensions, allowing a malicious VNC server to send a rectangle that extends beyond the framebuffer. A remote attacker could set up a malicious VNC server and trick a user into connecting, resulting in an out-of-bounds heap write that could lead to code execution or a crash.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-52721
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Multiple out-of-bounds read vulnerabilities were found in GStreamer's pcapparse element. Malformed PCAP records can trigger reads beyond buffer boundaries during IPv4/TCP header parsing. This element is primarily used in debugging pipelines, limiting real-world exposure. A local attacker could trick a user into processing a specially crafted PCAP file, potentially leading to a crash or information disclosure.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2026

CVE-2026-52722
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A signed integer overflow vulnerability was found in GStreamer's VMnc decoder. A crafted VMnc stream with large cursor dimensions can overflow signed integer payload-size arithmetic, bypassing a length check and leading to out-of-bounds reads. A remote attacker could trick a user into opening a specially crafted VMnc file, potentially causing a crash or information disclosure.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-50890
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Bernd Bestel grocy v4.6.0 was discovered to contain a SQL injection vulnerability in the product-group parameter at /stockreports/spendings. This vulnerability allows attackers to access sensitive database information via a crafted SQL statement.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-50891
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect access control in the /admin/api/config component of Filestash v0.4.0 allows attackers to escalate privileges via sending a crafted request.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2026

CVE-2026-50892
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect access control in the "Let's Encrypt" certificate download endpoint of Nginx Proxy Manager v2.14.0 allows authenticated attackers to obtain the TLS private key material via a crafted GET request.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2026

CVE-2026-50882
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in the /api/v0/pastes endpoint of anna-is-cute paste v0.1.1 allows attackers to cause a Denial of Service (DoS) via a crafted POST request.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2026

CVE-2026-50883
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An HTML injection vulnerability in the /src/highlight.rs component of matze wastebin v3.4.1 allows attackers to execute arbitrary scripts via a crafted payload.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-50885
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect access control in the share-based read endpoints of Sismics Docs (Teedy) v1.11 allow unauthorized attackers to access sensitive endpoints via a crafted request.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2026

CVE-2026-50886
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect access control in the webhook management component of Project Firefly III v6.5.9 allows attackers to scan internal resources via a crafted POST request.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026
Suscribirse a Vulnerabilidades