Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-55203

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** HAProxy through 3.4.0, fixed in commit 5985276, contains an integer overflow vulnerability in the fcgi_conn structure's drl field that allows buffer misparse as new FCGI record headers. When contentLength is 65535 and paddingLength is 1 or more, the drl field wraps to 0, causing incorrect record consumption and allowing malicious FastCGI backends to desynchronize the FCGI framing parser, potentially causing request routing errors, response smuggling, or memory safety issues.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
14/07/2026

CVE-2026-55204

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** HAProxy through 3.4.0, fixed in commit 9a6d1fe, contains a null pointer dereference vulnerability in hpack_dht_insert() within src/hpack-tbl.c that fails to validate the return value of hpack_dht_defrag() when the memory pool is exhausted. An attacker can trigger HPACK dynamic table insertions under memory pressure to dereference a NULL pointer and crash HAProxy worker processes, causing denial of service.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/07/2026

CVE-2026-54103

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) does not authenticate password change requests to the '/update-profile/N' API endpoint. A remote, unauthenticated attacker could change an arbitrary user's password.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-54104

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) trusts client-provided values for the 'epds_role_id' parameter without verification, allowing a remote, authenticated attacker to escalate their own privileges.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/06/2026

CVE-2026-54105

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) expose sensitive account information through the 'update-profile/' API endpoint. A remote, unauthenticated attacker can submit a request containing an arbitrary 'user_id' parameter and receive a JSON response containing account-specific information, including the associated email address.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/06/2026

CVE-2026-54106

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) do not validate X-Forwarded-For HTTP headers, allowing a remote attacker with compromised administrator credentials to bypass network access controls and log in.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/06/2026

CVE-2026-48617

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw in Node.js Permission Model enforcement allows Bypass via `process.report.writeReport()` Path Misvalidation. This can lead to confidentiality impact or bypass of the intended security boundary under affected configurations. This vulnerability affects all supported release lines: **Node.js 22**, **Node.js 24**, and **Node.js 26**.
Gravedad CVSS v3.1: BAJA
Última modificación:
22/06/2026

CVE-2026-38714

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** InHand Networks IR912 V1.0.0.r20042 and IR915 V1.0.0.r20042 (including earlier versions) were discovered to contain a command injection vulnerability in the Python configuration function. This vulnerability allows remote attackers to execute arbitrary commands as root via a crafted input.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-38715

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** InHand Networks IR912 V1.0.0.r20042 and IR915 V1.0.0.r20042 (including earlier versions) were discovered to contain a command injection vulnerability in the log viewing function. This vulnerability allows remote attackers to execute arbitrary commands as root via a crafted input.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-38717

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** InHand Networks IR912 V1.0.0.r20042 and IR915 V1.0.0.r20042 (including earlier versions) were discovered to contain a command injection vulnerability in the file upload function. The vulnerability allows remote attackers to execute arbitrary commands as root via a crafted input.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-38716

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** InHand Networks IR912 V1.0.0.r20042 and IR915 V1.0.0.r20042 (including earlier versions) were discovered to contain a command injection vulnerability in the Python application export function. This vulnerability allows remote attackers to execute arbitrary commands as root via a crafted input.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-38718

Fecha de publicación:
18/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** InHand Networks IR912 V1.0.0.r20042 and IR915 V1.0.0.r20042 (including earlier versions) were discovered to contain a buffer overflow vulnerability in the device registration function. This vulnerability could allow an attacker to cause a denial of service attack on the remote target device.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/06/2026