Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-41049

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect caching of authentication between different users of the  qSnapper dbus service before version 1.3.3 allowed any local attacker to use dbus functions after a privileged users has authenticated for them.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/07/2026

CVE-2026-12628

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Storage Protect Client 8.1.0.0 through 8.2.1.0 and IBM Storage Protect Snapshot For Windows 8.1.0.0 through 8.2.1.0 could allow a remote attacker to bypass authentication due to the use of a hardcoded credential in the FlashCopy Manager (FCM) authentication mechanism. The application contains a static credential embedded in multiple authentication code paths, and does not properly validate authentication responses, which may allow an unauthenticated attacker to establish a trusted session and access protected services. This vulnerability affects client components across multiple versions and may allow an attacker to impersonate legitimate clients, potentially leading to unauthorized access to system resources.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/06/2026

CVE-2026-41045

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A time-to-check-time-of-use in polkit authentication of qSnapper before version 1.3.3 allowed a local attacker to bypass qSnappers authentication mechanism and operate e.g. as root user.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2026

CVE-2026-12725

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A heap-based buffer overflow was found in dnsmasq. When DNSSEC validation and<br /> query logging are both enabled, logging of DS or DNSKEY replies containing<br /> unsupported algorithm or digest types can cause dnsmasq to write past the end<br /> of an internal logging buffer. A remote attacker able to supply such a DNS<br /> response may crash the dnsmasq process, resulting in denial of service.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-12549

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The fix for CVE-2026-2443 was regressed by a subsequent rework commit that replaced specific overflow checks with a general signed comparison. When a client sends a Range request with a suffix length exceeding the content size, the resulting negative start value is not properly clamped, leading to malformed HTTP 206 responses and log flooding.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-12479

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A path traversal vulnerability exists in keras-team/keras version 3.14.0, specifically in the `DiskIOStore.make` method within the Keras 3 model saving and loading library. This vulnerability arises from the improper handling of user-provided layer names, which are used to construct directory paths without sanitizing for parent directory components (`..`). While forward slashes (`/`) are restricted in layer names, directory traversal sequences are not. This allows an attacker to craft a malicious Keras model that, when saved or loaded, can escape the intended temporary working directory and perform unauthorized file system operations, such as creating directories or writing files in arbitrary locations.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-11942

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Akaunting 3.1.21 contains an authenticated stored cross-site scripting vulnerability in the reusable delete confirmation flow. A user with permission to create or modify records, such as Items, can store HTML/JavaScript in the record name.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-11943

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Akaunting 3.1.21 contains an authenticated stored cross-site scripting vulnerability in the document timeline shown on invoice and bill detail pages. An authenticated user can store HTML/JavaScript in their own profile name.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-10845

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM WebSphere Application Server 8.5 and 9.0 could allow a remote attacker to bypass authentication and gain unauthorized access to JAX-WS applications.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2026

CVE-2026-11372

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM TRIRIGA Application Platform 5.0.2 through 5.0.3 is vulnerable to cross-site scripting. This vulnerability allows an authenticated user to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2026

CVE-2024-51454

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Engineering Workflow Management 7.0.2 through 7.0.2 Interim Fix 035, 7.0.3 through 7.0.3 Interim Fix 017, and 7.1 through 7.1 Interim Fix 004 is vulnerable to HTTP header injection, caused by improper validation of input by the HOST headers. This could allow an attacker to conduct various attacks against the vulnerable system, including cross-site scripting, cache poisoning or session hijacking.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/06/2026

CVE-2023-33854

Fecha de publicación:
22/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Db2 on Cloud Pak for Data and Db2 Warehouse on Cloud Pak for Data versions 4.8, 5.0, 5.1, 5.2, and 5.3 could allow an authenticated user to bypass client-side validation and manipulate input data using man in the middle techniques.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2026