Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-9595

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Impact: When a user-configured proxy on webpack-dev-server has a broad context (e.g. /) and ws: true, it also intercepts the dev server&amp;#39;s own HMR WebSocket and forwards it to the proxy target. This leaks the browser&amp;#39;s cookies and Origin header to the backend, bypasses the dev server&amp;#39;s Host/Origin validation, and corrupts the HMR socket (both HMR and the proxy end up writing to the same socket).<br /> <br /> Patches: Fixed in webpack-dev-server@5.2.5.<br /> <br /> Workarounds: Scope user-defined proxy context to specific paths instead of /, or omit ws: true from the proxy entry when WebSocket forwarding is not required.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2026

CVE-2026-9862

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Fortra&amp;#39;s <br /> Core Privileged Access Manager (BoKS) contains an OS command injection vulnerability in the boks_autoregisterd service. A remote attacker with network access to the service may be able to cause commands to be executed with the privileges of the service during the autoregistration processing.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2026

CVE-2026-9863

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Fortra BoKS Manager contains an OS command injection vulnerability in the client upgrade and patch tooling for legacy tar-based client installations. A malicious or compromised legacy tar-installed client selected for upgrade or patching may be able to cause commands to be executed on the BoKS Master during client version handling.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2026

CVE-2026-5038

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Impact: multer versions 2.0.0-alpha.1 through 2.1.1 and 3.0.0-alpha.1 are vulnerable to a Denial of Service when using diskStorage. Aborted or malformed multipart uploads leave orphaned partial files on disk because the Readable.pipe() call does not propagate the stream destroy signal to <br /> the underlying fs.WriteStream. An attacker can exhaust disk space by triggering many aborted uploads, with no application bug required.<br /> <br /> Patches: Users should upgrade to multer 2.2.0 (2.x line) or 3.0.0-alpha.2 (3.x prerelease). Both versions track in-flight write streams and clean them up on the abort path.<br /> <br /> Workarounds: None.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2026

CVE-2026-8683

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost Desktop App versions
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2026

CVE-2025-15659

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Contributor Cross Site Scripting (XSS) in Elizaibots
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2026

CVE-2026-10634

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Zephyr&amp;#39;s native TCP stack iterates the global connection list in net_tcp_foreach() (subsys/net/ip/tcp.c) using the SYS_SLIST_FOR_EACH_CONTAINER_SAFE macro, which caches a pointer to the next list node. Prior to this fix the function released tcp_lock while invoking the per-connection callback and re-acquired it afterwards.<br /> <br /> During that window a concurrent tcp_conn_release(), running on the dedicated TCP work-queue thread when a connection&amp;#39;s reference count drops to zero (e.g. a remote peer closing or resetting the connection), can remove and k_mem_slab_free() the cached next connection. When the iterator advances it dereferences the freed (and possibly reallocated) slab memory — a use-after-free that can crash the system (denial of service) and, if the slot has been reused, cause the callback to operate on an attacker-influenced object (potential information disclosure or further fault).<br /> <br /> net_tcp_foreach() is reached in production via the net conn network shell command and via net_tcp_close_all_for_iface() on interface-down; the freeing side is driven by ordinary TCP traffic.<br /> <br /> The fix moves the connection/context teardown in tcp_conn_release() inside the tcp_lock critical section and keeps tcp_lock held across the callback in net_tcp_foreach(). The defect was introduced with the modern (TCP2) stack in 2020 and affects releases up to and including v4.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2026

CVE-2025-15658

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Administrator Cross Site Scripting (XSS) in WP Emmet
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2026

CVE-2026-5230

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Access Control, Missing Authorization vulnerability in MIA Technology Inc. Pizzy Library allows Exploiting Incorrectly Configured Access Control Security Levels.<br /> <br /> This issue affects Pizzy Library: from 1.0.0.26250 before 1.3.9.26250.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-5233

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Control of Interaction Frequency vulnerability in MIA Technology Inc. Pizzy Library allows Flooding.<br /> <br /> This issue affects Pizzy Library: from 1.0.0.26250 before 1.3.9.26250.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-5242

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of formula elements in a CSV file vulnerability in MIA Technology Inc. Pizzy Library allows Code Injection.<br /> <br /> This issue affects Pizzy Library: from 1.0.0.26250 before 1.3.9.26250.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2026

CVE-2026-5079

Fecha de publicación:
15/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Impact: multer versions 1.0.0 through 2.1.1 and 3.0.0-alpha.1 are vulnerable to a Denial of Service via deeply nested field names in multipart form data. The append-field dependency parses bracket notation in field names with no limit on nesting depth, allowing an attacker to force allocation of deeply nested object structures that consume CPU and memory. A single HTTP request with a crafted multipart body is sufficient to exploit this.<br /> <br /> Patches: Users should upgrade to multer 2.2.0 (2.x line) or 3.0.0-alpha.2 (3.x prerelease) and configure the new limits.fieldNestingDepth option to the minimum depth their application requires.<br /> <br /> Workarounds: Set limits.fields to a reasonable value to reduce the number of fields an attacker can send per request. This does not fully mitigate the issue but limits the impact.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2026