Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-47846

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Bitnami Cassandra container images are affected by a retained default superuser vulnerability. When a custom administrator account is configured via the CASSANDRA_USER environment variable, the container initialization script creates the new superuser account but fails to drop the built-in cassandra account in certain scenarios. This leaves the default cassandra:cassandra superuser active as an unintended access path.<br /> <br /> Affected versions — Container image: 4.0.x prior to 4.0.20-photon-5-r7; 4.1.x prior to 4.1.11-photon-5-r7; 5.0.x prior to 5.0.8-photon-5-r4 / 5.0.8-debian-12-r3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-47847

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Bitnami MariaDB Galera container images and Helm chart are affected by a hardcoded default credential vulnerability in the Galera replication health-check user. The MARIADB_REPLICATION_USER and MARIADB_REPLICATION_PASSWORD environment variables defaulted to monitor and monitor respectively. This user is granted REPLICATION CLIENT privileges from any host (&amp;#39;%&amp;#39;). The Bitnami Helm chart for MariaDB Galera did not expose parameters to configure this user&amp;#39;s credentials, resulting in all chart deployments using this publicly known credential by default.<br /> <br /> Affected versions — Container image: 10.6.x prior to 10.6.27-photon-5-r0; 10.11.x prior to 10.11.17-photon-5-r1; 11.4.x prior to 11.4.12-photon-5-r0; 11.8.x prior to 11.8.7-photon-5-r1; 12.3.x prior to 12.3.2-photon-5-r0 / 12.3.2-debian-12-r0. Helm chart: prior to 18.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-48716

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** nanobot is a personal AI assistant. In versions 0.1.5.post3 and prior, the WhatsApp bridge in bridge/src/whatsapp.ts constructs a filesystem path using the fileName field from an incoming WhatsApp document message without sanitization. The WhatsApp bridge downloads media attachments and writes them to disk using a filename derived from the sender&amp;#39;s message via documentMessage.fileName, which is concatenated with a prefix and its raw value is passed directly to path.join(mediaDir, outFilename). Node.js path.join resolves .. components, allowing an attacker to escape the intended media/ directory by sending a document with a crafted fileName such as ../../../.ssh/authorized_keys. Because the attacker also controls the file content (the downloaded buffer), this is a write-anywhere primitive — both path and content are attacker-controlled. A fix for this issue is planned for version 0.1.5.post4.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2026

CVE-2026-25865

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Punto Switcher through 4.5.0.583 contains an unquoted search path element vulnerability that allows local attackers to execute arbitrary code by exploiting the application&amp;#39;s call to WinExec without a fully qualified path for RunDll32.exe when invoking shell32.dll Control_RunDLL input.dll. Attackers can place a malicious executable earlier in the search order to achieve arbitrary code execution in the context of the affected user.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/06/2026

CVE-2026-9692

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mojolicious::Sessions::Storable versions through 0.05 for Perl generate session ids insecurely.<br /> <br /> The default session id generator returns a SHA-1 hash seeded with the built-in rand function, the epoch time, the heap address of an anonymous hash, and the PID.<br /> <br /> These are predictable or low-entropy sources that are unsuitable for security purposes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-48937

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw in Node.js HTTP/2 server API can cause servers to keep accepting data even after sending a `GOAWAY` frame. This vulnerability affects two supported release lines: **Node.js 22** and **Node.js 24**.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-47833

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** setupBpmLogs follows symlink for bpm.log open and chown — container-to-host privilege escalation via /etc/shadow. A compromised process inside a bpm container can cause root to chown an arbitrary host file to vcap and append bpm JSON log lines to it. The chown alone lets the attacker take ownership of /etc/shadow and read every password hash on the host via the read-only /etc bind mount. This is a container-to-host confidentiality break affecting every bpm-managed job.<br /> <br /> Affected versions: bpm-release, all versions prior to v1.4.30.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/06/2026

CVE-2026-55392

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** NILFS utilities through 2.3.0, fixed in commit 26efb5d, nilfs_sb_is_valid() function fails to validate s_log_block_size field in NILFS2 superblock before bit-shift operations. Attackers supplying crafted NILFS2 images trigger undefined behavior through oversized shifts or out-of-memory conditions, crashing tools like nilfs-tune and dumpseg.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/07/2026

CVE-2026-12390

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** In AzeoTech DAQFactory versions 21.1 and prior, a Type Confusion vulnerability can be exploited by an attacker using specially crafted .ctl files which can result in code execution.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2026

CVE-2026-48984

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** pam_usb provides hardware authentication for Linux using ordinary removable media. In versions 0.9.1 and below, the xfree() memory release helper in calls free() without first zeroing the buffer contents, releasing heap-allocated buffers containing sensitive data — including one-time pad bytes read from disk — without clearing, leaving the sensitive content in freed heap memory until it happens to be overwritten by a subsequent allocation. On a system where a use-after-free condition exists, or where a heap inspection primitive becomes available, this could allow recovery of pad values or other authentication material from freed memory regions. This is a defence-in-depth requirement consistent with prior hardening work in this codebase (GHSA-vx6f-rrqr-j87c applied explicit_bzero to some pad paths; this issue generalises the pattern to the central deallocation helper).
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-48985

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** pam_usb provides hardware authentication for Linux using ordinary removable media. In versions 0.9.1 and below, pusb_is_loginctl_local() can cause a NULL dereference crash when parsing loginctl output. The function calls popen() and reads the result; if the Remote field is only a newline, fgets() succeeds but strtok_r(buf, "\n", &amp;saveptr) returns NULL. A subsequent strcmp(is_remote, "no") then dereferences NULL, causing undefined behavior (typically SIGSEGV) and crashing the PAM module. This can crash the authenticating process (e.g., sudo, login) and, depending on PAM stack configuration, deny access for all users of the affected service. This issue has been fixed in version 0.9.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-48986

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** pam_usb provides hardware authentication for Linux using removable media. In pam_usb 0.9.1 and earlier, usb_get_process_parent_id() can cause an infinite loop DoS because it does not initialize *ppid on failure. In pusb_local_login(), the same variable is reused as input and output in a process-tree while loop; if /proc//stat cannot be read (for example, when an ancestor process exits during authentication), the PID is not updated and the loop does not terminate. This hangs the authenticating process (such as sudo, sshd, or login) until it is forcibly terminated. This issue has been fixed in version 0.9.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026