Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-56236

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo CLI before 12.128.2 contains arbitrary file overwrite vulnerabilities in login and build credentials operations that follow symlinks without validation. Attackers can create malicious symlinks in repositories to overwrite arbitrary files or expose credentials with world-readable permissions when developers run the CLI.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-56242

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 contains an unauthenticated security definer RPC function get_identity_apikey_only that returns the owning user_id for supplied API keys, creating an API key validity oracle and user identity disclosure primitive. Attackers can call this endpoint with valid or invalid API keys to confirm key validity and map keys to user identifiers, then chain results into other exposed RPCs like get_orgs_v6 to retrieve organization membership and management email PII.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/06/2026

CVE-2026-56251

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 contains a broken row level security policy in the org_users table that allows authenticated users to elevate privileges from admin to super_admin. Attackers can exploit the insufficient RLS enforcement to gain unauthorized super_admin access and compromise system security.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/06/2026

CVE-2026-56229

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 contains an authorization bypass vulnerability in the /build/status and /build/logs endpoints that allows attackers to access build jobs belonging to different applications by supplying a mismatched app_id and job_id combination. Limited API keys restricted to a single app can retrieve build status and logs from other apps by providing an authorized app_id while using a job_id from an unauthorized app, exposing sensitive build information including logs, metadata, and potentially credentials.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/06/2026

CVE-2026-56239

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 contains a potential privilege escalation vulnerability in the public.apply_usage_overage SECURITY DEFINER function, which performs sensitive billing operations without enforcing internal authorization checks (no validation of auth.uid(), org membership, or check_min_rights). Because the function runs with the owner's privileges, it bypasses Row Level Security. If EXECUTE permission is available to the authenticated or anon roles (explicitly or via default privileges), an authenticated user could invoke it via Supabase RPC to manipulate billing data for arbitrary organizations, including unauthorized credit depletion and fraudulent overage event insertion.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/06/2026

CVE-2026-56253

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 contains an improper access control vulnerability in the public.get_org_members RPC function that allows unauthenticated attackers to enumerate organization members. Attackers can invoke the endpoint using only the public sb_publishable_* key and an organization UUID to retrieve sensitive member information including email addresses, user IDs, roles, and pending invitations.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/06/2026

CVE-2025-71378

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** picklescan before 0.0.30 fails to detect cProfile.runctx function calls in pickle file reduce methods, allowing attackers to execute arbitrary code. Malicious pickle files bypass picklescan detection and execute remote code when loaded via pickle.load().
Gravedad CVSS v4.0: ALTA
Última modificación:
26/06/2026

CVE-2025-71357

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** picklescan before 0.0.30 fails to detect malicious pickle files using idlelib.pyshell.ModifiedInterpreter.runcommand in reduce methods. Attackers can embed undetected code in pickle files that executes remote commands when loaded by victims.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/06/2026

CVE-2025-71348

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** picklescan before 0.0.28 fails to detect malicious pickle files that invoke torch.utils._config_module.load_config function within reduce methods. Attackers can craft pickle files embedding arbitrary code that evades detection but executes during pickle.load, enabling remote code execution in supply chain attacks.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/06/2026

CVE-2025-71351

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** picklescan before 0.0.25 fails to detect malicious pickle files that use timeit.timeit() in the __reduce__ method, allowing remote code execution. Attackers can craft pickle files that import dangerous libraries like os and execute arbitrary system commands, which evade picklescan detection and execute when pickle.load() is called.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/06/2026

CVE-2026-12799

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security vulnerability has been detected in BerriAI litellm up to 1.82.2. Affected by this issue is the function ui_view_users of the file litellm/proxy/management_endpoints/internal_user_endpoints.py of the component Incomplete Fix CVE-2025-0628. Such manipulation leads to improper authorization. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure.
Gravedad CVSS v4.0: BAJA
Última modificación:
24/06/2026

CVE-2026-12798

Fecha de publicación:
21/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A weakness has been identified in BerriAI litellm up to 1.82.2. Affected by this vulnerability is the function load_openapi_spec_async of the file litellm/proxy/_experimental/mcp_server/openapi_to_mcp_generator.py of the component MCP OpenAPI Spec Loader. This manipulation of the argument spec_path causes server-side request forgery. It is possible to initiate the attack remotely. The exploit has been made available to the public and could be used for attacks. The vendor was contacted early about this disclosure.
Gravedad CVSS v4.0: BAJA
Última modificación:
24/06/2026