Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-3894

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Out-of-bounds Read vulnerability in RTI Connext Professional (Core Libraries) allows Overread Buffers.This issue affects Connext Professional: from 7.4.0 before 7.7.0, from 7.0.0 before 7.3.1.3, from 6.1.0 before 6.1.*, from 6.0.0 before 6.0.*, from 5.3.0 before 5.3.*, from 5.0.0 before 5.2.*.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
08/07/2026

CVE-2026-30803

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Integer Underflow (Wrap or Wraparound) vulnerability in RTI Connext Micro (Core Libraries) allows Overread Buffers.This issue affects Connext Micro: from 4.0.0 before 4.3.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/07/2026

CVE-2026-30802

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Out-of-bounds Read vulnerability in RTI Connext Micro (Core Libraries) allows Overread Buffers.This issue affects Connext Micro: from 4.0.0 before 4.3.0, from 2.4.5 before 2.4.*.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/07/2026

CVE-2026-30799

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authentication for Critical Function vulnerability in RTI Connext Professional (Security Plugins) allows Identity Spoofing.This issue affects Connext Professional: from 7.4.0 before 7.7.0, from 7.0.0 before 7.3.*, from 6.1.0 before 6.1.*, from 6.0.0 before 6.0.*, from 5.3.0 before 5.3.*.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/07/2026

CVE-2026-2675

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authentication for Critical Function vulnerability in RTI Connext Professional (Security Plugins) allows Fake the Source of Data.This issue affects Connext Professional: from 7.4.0 before 7.7.0, from 7.0.0 before 7.3.1.3, from 6.1.0 before 6.1.*, from 6.0.0 before 6.0.*, from 5.3.0 before 5.3.*.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/07/2026

CVE-2026-2674

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Out-of-bounds Write, Out-of-bounds Write, Out-of-bounds Write vulnerability in RTI Connext Professional (Queueing Service,Core Libraries,Persistence Service) allows Overflow Buffers, Overflow Buffers, Overflow Buffers.This issue affects Connext Professional: from 7.4.0 before 7.7.0, from 7.0.0 before 7.3.1.3, from 6.1.0 before 6.1.*.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/07/2026

CVE-2026-2467

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Heap-based Buffer Overflow vulnerability in RTI Connext Professional (Core Libraries) allows Overflow Variables and Tags.This issue affects Connext Professional: from 7.4.0 before 7.7.0, from 7.0.0 before 7.3.1.3, from 6.1.0 before 6.1.*, from 6.0.0 before 6.0.*, from 5.3.0 before 5.3.*, from 5.0.0 before 5.2.*.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
08/07/2026

CVE-2026-20265

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** In Splunk AI Toolkit versions below 5.7.4, a low-privileged user that does not hold the "admin" or "power" Splunk roles could cause the Splunk AI Toolkit to make outbound requests over HTTP to a server that an attacker controls, which could allow for data exfiltration. <br /> <br /> The vulnerability exists because of an insecure default domain allowlist in the Splunk AI Toolkit, which does not restrict outbound AI agent requests to approved external domains.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-20266

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** In Splunk AI Toolkit versions below 5.7.4, a user who holds the "admin" Splunk role could execute arbitrary OS commands on the host running the Splunk Enterprise instance. <br /> <br /> The vulnerability is possible because of an unsafe shell execution pattern in the btool configuration helper, which constructs OS command strings from dynamic parameters without disabling shell interpretation.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-20178

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in the browser-based version of Cisco Webex App could have allowed an unauthenticated, remote attacker to redirect users to a malicious webpage. Cisco has addressed this vulnerability in the Cisco Webex App, and no customer action is needed.<br /> <br /> This vulnerability existed due to improper input validation of URL parameters in an HTTP request. Prior to this vulnerability being addressed, an attacker could have exploited this vulnerability by persuading a user to click a crafted URL. A successful exploit could have allowed the attacker to redirect a user to a malicious website.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-53874

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** picklescan before 1.0.1 contains an unsafe deserialization vulnerability allowing unauthenticated users to execute arbitrary code by hiding eval calls nested under callable objects via getattr. Attackers can embed malicious code in pickle files that evades detection but executes when the pickle is loaded from untrusted sources.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/06/2026

CVE-2026-36418

Fecha de publicación:
17/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** JimuReport versions 2.3.4 and below are vulnerable to remote code execution due to improper handling of Aviator expressions. The /jmreport/executeSelectApi endpoint passes user-supplied input directly to the Aviator expression engine without adequate validation allowing attackers to execute arbitrary code.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2026