Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-41008

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Security Authorization Server&amp;#39;s authorization endpoint performs insufficient validation of the request_uri parameter. An attacker can craft a malicious authorization request containing an invalid request_uri and an arbitrary, unvalidated redirect_uri, which can lead to an Open Redirect vulnerability.<br /> <br /> Affected versions:<br /> Spring Security 7.0.0 through 7.0.5.<br /> Spring Authorization Server 1.5.0 through 1.5.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2026

CVE-2026-41694

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Since Spring Security SAML decrypts SAML Responses as well as elements of SAML LogoutRequests and LogoutResponses without requiring a valid signature, attackers may be able to craft these SAML payloads and use the Service Provider as a decryption oracle.<br /> <br /> Affected versions:<br /> Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/06/2026

CVE-2026-41695

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Data Commons applications may be vulnerable to denial of service through resource exhaustion when attacker-controlled property path strings are passed to MappingContext property path resolution.<br /> <br /> Affected versions:<br /> Spring Data Commons 4.0.0 through 4.0.5; 3.5.0 through 3.5.11; 3.4.0 through 3.4.14.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2026

CVE-2026-41697

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Data Relational does not properly escape binding values of externally-controlled input when using StringMatcher (STARTING, ENDING, or CONTAINING) in Query By Example (QBE). An attacker can supply wildcard characters to perform boolean-based blind data inference.<br /> <br /> Affected versions:<br /> Spring Data Relational/JDBC/R2DBC 4.0.0 through 4.0.5; 3.5.0 through 3.5.11; 3.4.0 through 3.4.14; 3.3.0 through 3.3.16; 3.2.0 through 3.2.15; 3.1.0 through 3.1.14; 3.0.0 through 3.0.15; 2.4.0 through 2.4.19.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2026

CVE-2026-41696

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Spring Data MongoDB repository query methods annotated with @Query that use regex parameter binding perform insufficient validation of the bound parameter. An attacker can supply a crafted string to break out of the intended regular expression quoting.<br /> <br /> Affected versions:<br /> Spring Data MongoDB 5.0.0 through 5.0.5; 4.5.0 through 4.5.11; 4.4.0 through 4.4.14; 4.3.0 through 4.3.16; 4.2.0 through 4.2.15; 4.1.0 through 4.1.14; 4.0.0 through 4.0.15; 3.4.0 through 3.4.19.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/06/2026

CVE-2026-40988

Fecha de publicación:
10/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An application using spring-security-saml2-service-provider and the REDIRECT binding for SAML 2.0 Login or Logout may be vulnerable to a denial of service by way of an unbounded writer that inflates the compressed SAML payload into memory.<br /> <br /> Affected versions:<br /> Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2026

CVE-2026-9754

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated user with the read role may read limited amounts of uninitialized stack memory via specially-crafted issuances of the filemd5 command
Gravedad CVSS v4.0: ALTA
Última modificación:
10/06/2026

CVE-2026-9749

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** This issue can occur when running an aggregation pipeline that uses the internal $exchange stage configured with key-range partitioning and order-preserving delivery. If a single key range produces enough documents to fill its exchange buffer (that is, many results are routed to the same consumer), the server reaches the code path where a full per-consumer buffer is detected but the internal "high watermark" for that key range is not updated as intended.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/06/2026

CVE-2026-9752

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An authorized user could trigger a server crash by running a query with a 2dsphere index on a field that stores a GeoJSON GeometryCollection containing a Polygon with a strict-winding CRS.<br /> <br /> Strict-winding polygons are intentionally unsupported for indexing, but the guard that rejects them does not inspect members of a GeometryCollection, allowing the unsafe path to be reached which ends with an ensuing null-pointer dereference.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/06/2026

CVE-2026-9753

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The $_internalApplyOplogUpdate aggregation pipeline stage can be used to execute a document diff containing a malformed binary diff to return memory out-of-bounds or crash the server. $_internalApplyOplogUpdate can be executed by any authenticated user with access to the aggregate command.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/06/2026

CVE-2026-9751

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The ldapQueryPassword parameter, when set through the runtime setParameter command, will log the new password to the mongod.log file in plain text.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/06/2026

CVE-2026-9747

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Adding fromRouter:true and runtimeConstants.userRoles could cause aggregations to crash mongodb server.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/06/2026