Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-56385

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS versions >= 5.0.0-RC1, = 4.0.0-RC1,
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-56393

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS 4.x (>= 4.0.0-RC1, = 5.0.0-RC1,
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-56395

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** SiYuan before v3.6.1 fails to sanitize package metadata and README content in the Bazaar marketplace, allowing malicious package authors to inject arbitrary HTML and JavaScript. Attackers can achieve remote code execution on any user browsing the Bazaar by embedding XSS payloads in package displayName, description, or README fields, exploiting Electron's nodeIntegration setting to execute OS commands.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-56384

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS contains a missing authorization vulnerability in the assets/preview-thumb endpoint. A Control Panel user without permission to view a target private asset can call the endpoint with an attacker-controlled assetId and receive preview HTML containing a signed fallback transform preview link for that private asset, because no asset-view permission check is performed before preview generation. This affects versions >= 4.0.0-RC1, = 5.0.0-RC1,
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/06/2026

CVE-2026-56397

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** SiYuan before v3.6.1 fails to sanitize package metadata and README content in the Bazaar marketplace, allowing malicious package authors to inject arbitrary HTML and JavaScript. Attackers can achieve remote code execution on any user browsing the Bazaar by embedding XSS payloads in package displayName, description, or README fields, exploiting Electron's nodeIntegration setting to execute OS commands.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
24/06/2026

CVE-2026-56394

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS from 4.0.0-RC1 contains an authenticated path traversal vulnerability in the assets/icon endpoint where the extension parameter is not validated before file existence checks. Attackers can bypass extension validation by passing traversal sequences that resolve to existing SVG files, allowing local file read access.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/06/2026

CVE-2026-56396

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** phpMyFAQ before 4.1.4 contains missing authorization vulnerabilities in editUser() and updateUserRights() endpoints that allow authenticated administrators to escalate privileges. Non-SuperAdmin users with edit_user permission can set is_superadmin flag or grant arbitrary rights to escalate to SuperAdmin access.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/06/2026

CVE-2026-56378

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** ImageMagick before 7.1.2-15 (and 6.x before 6.9.13-40) contains a heap out-of-bounds read in the PCD coder's DecodeImage loop. A crafted PCD file can trigger a one-byte heap out-of-bounds read during image decoding, resulting in denial of service and potential disclosure of an adjacent heap byte.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/06/2026

CVE-2026-56367

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** ImageMagick before 7.1.2-15 and 6.9.x before 6.9.13-40 contains an integer overflow in the PSB (PSD v2) RLE decoding path (ReadPSDChannelRLE in coders/psd.c) that causes a heap out-of-bounds read on 32-bit builds. Processing a crafted PSB file can lead to information disclosure or a crash.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/06/2026

CVE-2026-56382

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS (composer package craftcms/cms) versions >= 5.5.0 and
Gravedad CVSS v4.0: ALTA
Última modificación:
22/06/2026

CVE-2026-56316

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Cap-go before 12.128.2 contains an information disclosure vulnerability in the OPTIONS /build/upload/:jobId/* endpoint that allows unauthenticated attackers to enumerate valid builder job IDs through observable response discrepancies. Attackers can probe the endpoint without authentication to distinguish valid job IDs from invalid ones and generate sustained unauthenticated traffic for resource consumption.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/06/2026

CVE-2026-56381

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS from version 5.0.0-RC1 contains a stored cross-site scripting vulnerability in the User Permissions page where user group names are rendered without proper HTML escaping. Attackers with admin access can inject arbitrary JavaScript via the user group name field that executes when other users view or edit permissions.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/06/2026