Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-3298

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** The method "sock_recvfrom_into()" of "asyncio.ProacterEventLoop" (Windows only) was missing a boundary check for the data buffer when using nbytes parameter. This allowed for an out-of-bounds buffer write if data was larger than the buffer size. Non-Windows platforms are not affected.

Gravedad CVSS v4.0: ALTA

Última modificación:

21/04/2026

CVE-2026-5789

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** Vulnerability related to an unquoted search path in CivetWeb v1.16. This vulnerability allows a local attacker to execute arbitrary code with elevated privileges by placing a malicious executable in a directory that is scanned before the intended application path (C:\Program Files\CivetWeb\CivetWeb.exe --), due to the absence of quotes in the service configuration.

Gravedad CVSS v4.0: ALTA

Última modificación:

22/04/2026

CVE-2026-31018

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** In Dolibarr ERP & CRM

Gravedad CVSS v3.1: ALTA

Última modificación:

21/04/2026

CVE-2026-29644

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** XiangShan (open-source high-performance RISC-V processor) commit edb1dfaf7d290ae99724594507dc46c2c2125384 (2024-11-28) has improper gating of its distributed CSR write-enable path, allowing illegal CSR write attempts to alter custom PMA (Physical Memory Attribute) CSR state. Though the RISC-V privileged specification requires an illegal-instruction exception for non-existent/illegal CSR accesses, affected XiangShan versions may still propagate such writes to replicated PMA configuration state. Local attackers able to execute code on the core (privilege context depends on system integration) can exploit this to tamper with memory-attribute enforcement, potentially leading to privilege escalation, information disclosure, or denial of service depending on how PMA enforces platform security and isolation boundaries.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/04/2026

CVE-2026-31013

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** Dovestones Softwares ADPhonebook

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/04/2026

CVE-2026-31014

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** Dovestones Softwares AD Self Update

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/04/2026

CVE-2026-31019

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** In the Website module of Dolibarr ERP & CRM 22.0.4 and below, the application uses blacklist-based filtering to restrict dangerous PHP functions related to system command execution. An authenticated user with permission to edit PHP content can bypass this filtering, resulting in full remote code execution with the ability to execute arbitrary operating system commands on the server.

Gravedad CVSS v3.1: ALTA

Última modificación:

21/04/2026

CVE-2026-0972

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** The login limit is not enforced on the SFTP service of Fortra&#39;s GoAnywhere MFT prior to 7.10.0 if the Web User attempting to be logged in to is configured to log in with an SSH Key, making the SSH key vulnerable to being guessed via Brute Force.

Gravedad CVSS v3.1: ALTA

Última modificación:

21/04/2026

CVE-2025-14362

Fecha de publicación:

21/04/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

21/04/2026

CVE-2025-1241

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** Encrypted values in Fortra&#39;s GoAnywhere MFT prior to version 7.10.0 and GoAnywhere Agents prior to version 2.2.0 utilize a static IV which allows admin users to brute-force decryption of data.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/04/2026

CVE-2026-0971

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** An improper session timeout issue in Fortra&#39;s GoAnywhere MFT prior to version 7.10.0 results in SAML configured Web Users being redirected to the regular login page instead of the SAML login page.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/04/2026

CVE-2026-1089

Fecha de publicación:

21/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** User‑Controlled HTTP Header in Fortra&#39;s GoAnywhere MFT prior to version 7.10.0 allows attackers to trigger a DNS lookup, as well as DNS Rebinding and Information Disclosure.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/04/2026

Suscribirse a Vulnerabilidades