Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-56317

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Nuxt before 4.4.7 (and the 3.x branch before 3.21.7) contains a cross-site scripting vulnerability in the NoScript component that writes slot content to innerHTML without escaping. Attackers can inject malicious scripts through untrusted data in NoScript slots, such as route.query parameters, which execute in the document context when the noscript tag is implicitly closed by script tags.
Gravedad CVSS v4.0: BAJA
Última modificación:
24/06/2026

CVE-2026-56282

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 contains an information disclosure vulnerability in the unauthenticated /replication endpoint that exposes internal PostgreSQL replication telemetry including slot names and WAL LSN positions. Attackers can access this endpoint without authentication to retrieve sensitive infrastructure details such as replication slot names, confirmed_flush_lsn, restart_lsn values, and database error messages for reconnaissance purposes.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/06/2026

CVE-2026-56267

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise before 3.0.13 contains an information exposure vulnerability in the POST /api/v1/account/forgot-password endpoint that returns full user objects including PII to unauthenticated attackers. An attacker can enumerate valid email addresses and harvest sensitive user data including user IDs, names, account status, and timestamps by sending requests with known email addresses.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-56227

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 contains a server-side request forgery vulnerability in webhook URL validation that allows loopback and internal addresses. Organization admins can configure webhooks pointing to localhost or 127.0.0.1, and when triggered, the backend performs outbound requests to these addresses with error responses disclosed to users.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-56276

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise before 3.1.2 contains a mass assignment vulnerability in the PUT /api/v1/user endpoint that allows authenticated users to directly modify the credential field without validation. Attackers can bypass password change verification and session invalidation by supplying a crafted password hash, establishing persistent account access after temporary session compromise.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-56235

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Cap-go capgo before 12.128.2 contains an authorization bypass in several Supabase PostgREST RPC functions (get_app_metrics, get_global_metrics, get_total_metrics) that are granted to the anon role without enforcing org membership or permission checks. An unauthenticated attacker using only the public Supabase API key (sb_publishable_*) can query arbitrary org_id values to disclose cross-tenant usage telemetry (MAU, bandwidth, installs, gets), enumerate app IDs for a target org, and determine org existence via an oracle (valid org returns metrics, invalid returns []).
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/06/2026

CVE-2025-71331

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise before 3.0.8 contains a cross-site scripting (XSS) vulnerability caused by insufficient input filtering in chat messages and custom agent functions. An attacker can inject malicious JavaScript by sending an iframe payload (e.g., ) in a chat box, or by having a custom agent function return an XSS payload from an external website. The injected script executes in the victim's browser, enabling theft of cookies and session data.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/06/2026

CVE-2026-56218

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 fails to strip EXIF metadata including GPS geolocation data from uploaded images, allowing information disclosure. Attackers can download uploaded images and extract precise latitude and longitude coordinates revealing user physical location at capture time.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/06/2026

CVE-2026-56228

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Capgo before 12.128.2 fails to enforce a maximum value on the minimum password length field in its password policy configuration. An authenticated organization administrator can set an extremely large numeric value (e.g., billions of characters) as the minimum password length, making compliance impossible for all organization members. Once the policy is enabled, users (including administrators) are unable to change their passwords or access the organization, resulting in an organization-wide account lockout and application-level denial of service.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/06/2026

CVE-2024-58351

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise before 2.1.4 allows configuration to be injected into the Chainflow during execution via the overrideConfig option, supported in both the frontend web integration and the backend Prediction API. Because this feature is enabled by default with no allow-list of permitted variables and relies on vm2 for sandboxing, an attacker can abuse it to achieve remote code execution and sandbox escape, denial of service by crashing the server, server-side request forgery, prompt injection, and server variable and data exfiltration. These issues are self-targeted and do not persist to other users.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-12673

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Liquidfiles versions before 4.2.12 are affected by a broken access control vulnerability resulting in privilege escalation from an Admin in a secondary domain to a Sysadmin by modifying a group in their managed secondary (non-default) group.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2022-50972

Fecha de publicación:
20/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** WooCommerce 7.1.0 contains a remote code execution vulnerability that allows attackers to execute arbitrary PHP code by injecting shell commands through the product-type parameter. Attackers can send requests to the class-wc-meta-box-product-images.php endpoint with unsanitized product-type values to write malicious PHP files to the web root.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
22/06/2026