Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-38060
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tenda 5G03 V05.03.02.04 (Version 1.0) is vulnerable to Command injection in the function action_unlock_sim via the pin parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-38061
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tenda 5G03 V05.03.02.04 (Version 1.0) is vulnerable to Command injection in the function action_set_volume via the volume parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-38062
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tenda 5G03 V05.03.02.04 (Version 1.0) is vulnerable to Command injection in the function action_set_rat_mode via the ratMode parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-38063
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tenda 5G03 V05.03.02.04 (Version 1.0) is vulnerable to Command injection in the function action_radio_on_with_ia_apn via the ia parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-38064
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tenda 5G03 V05.03.02.04 (Version 1.0) is vulnerable to Command injection in the function action_dial_call via the dialNumber parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-38065
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tenda 5G03 V05.03.02.04 (Version 1.0) is vulnerable to Command injection in the function action_ims_on_with_apn via the ims_apn parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-30120
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** remotion-dev remotion v4.0.409 was discovered to contain a remote code execution (RCE) vulnerability.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-30121
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** remotion-dev remotion v4.0.409 was discovered to contain an arbitrary file write vulnerability.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-11931
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect default permissions in Kiro IDE on macOS and Linux before version 0.11.133 could expose the authentication token cache file to other local users or processes via world-readable permissions (0644) instead of owner-restricted permissions (0600).<br /> <br /> <br /> <br /> To remediate this issue, users should upgrade to Kiro IDE version 0.11.133 or later. After upgrading and restarting the application, the cache file permissions are automatically updated on the next token refresh. Users operating in a multi-user environment can invalidate existing tokens by reauthenticating.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/06/2026

CVE-2026-36213
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in Microvirt MEmu Android Emulator 9.2.7.0 allows a local attacker to escalate privileges via the MemuService.exe component.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2026

CVE-2026-36537
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** ThingsBoard v4.3.0.1 is vulnerable to an authentication bypass during the OAuth authorization code exchange. The application improperly trusts user-supplied identity data within the user parameter of the /login/oauth2/code/ endpoint. By manipulating the email address in this JSON object, a remote attacker can bypass authentication and gain full access to any existing user account on the platform without possessing the target user&amp;#39;s credentials. This results in a complete account takeover.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2026

CVE-2026-36521
Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** PublicCMS V5.202506.d has a Cross Site Scripting (XSS) vulnerability in the site configuration management module.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2026
Suscribirse a Vulnerabilidades