Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-67862

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An Internal Asset Exposed to Unsafe Debug Access Level or State vulnerability [CWE-1244] vulnerability in Fortinet FortiOS 7.6.0 through 7.6.2, FortiOS 7.4.0 through 7.4.7, FortiOS 7.2.0 through 7.2.10, FortiOS 7.0.0 through 7.0.16, FortiOS 6.4 all versions, FortiProxy 7.6.0 through 7.6.3, FortiProxy 7.4.0 through 7.4.10, FortiProxy 7.2.0 through 7.2.14, FortiProxy 7.0 all versions may allow an authenticated admin to execute lua scripts via crafted CLI commands.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2026

CVE-2026-10520

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An OS Command Injection vulnerability in Ivanti Sentry before the R10.5.2, R10.6.2 and R10.7.1 versions allows a remote unauthenticated user to achieve root-level remote code execution
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/06/2026

CVE-2026-10523

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** An Authentication Bypass vulnerability (CWE-288) in Ivanti Sentry before the R10.5.2, R10.6.2 and R10.7.1 versions allows a remote unauthenticated attacker to create arbitrary administrative accounts and obtain full administrative access
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/06/2026

CVE-2026-7486

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper neutralization of special elements used in an SQL command (&amp;#39;SQL injection&amp;#39;) vulnerability in Netcad Software Inc. E-İmar allows SQL Injection.<br /> <br /> This issue affects E-İmar: from 2.10.1.0 before 3.0.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/06/2026

CVE-2026-9279

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Logseq exposes an IPC handler that allows the renderer process to execute shell commands. While an allowlist restricts the command name (e.g. `git`, `pandoc`, `grep`), the argument string is concatenated with the command and passed to `child_process.spawn` with the `shell: true` option, allowing shell metacharacters in the arguments to bypass the allowlist. An attacker with JavaScript execution in the renderer (e.g. via XSS or a malicious plugin) can execute arbitrary shell commands with the privileges of the Logseq process, leading to remote code execution on the host.<br /> While only version v0.10.15 was tested and confirmed as vulnerable, status of other versions is unknown since this issue was not addressed by a patch.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026

CVE-2026-52907

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> media: rockchip: rkcif: fix off by one bugs<br /> <br /> Change these comparisons from &gt; vs &gt;= to avoid accessing one element<br /> beyond the end of the arrays.<br /> While at it, use ARRAY_SIZE instead of the _MAX enum values.<br /> <br /> [fix cosmetic issues]
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-52906

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> 9p: fix access mode flags being ORed instead of replaced<br /> <br /> Since commit 1f3e4142c0eb ("9p: convert to the new mount API"),<br /> v9fs_apply_options() applies parsed mount flags with |= onto flags<br /> already set by v9fs_session_init(). For 9P2000.L, session_init sets<br /> V9FS_ACCESS_CLIENT as the default, so when the user mounts with<br /> "access=user", both bits end up set. Access mode checks compare<br /> against exact values, so having both bits set matches neither mode.<br /> <br /> This causes v9fs_fid_lookup() to fall through to the default switch<br /> case, using INVALID_UID (nobody/65534) instead of current_fsuid()<br /> for all fid lookups. Root is then unable to chown or perform other<br /> privileged operations.<br /> <br /> Fix by clearing the access mask before applying the user&amp;#39;s choice.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2026-49762

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Uncontrolled Resource Consumption vulnerability in the Elixir standard library&amp;#39;s Version module allows an attacker who controls a version string to cause a denial of service through CPU and memory exhaustion.<br /> <br /> The version parser converts numeric version components (major, minor, patch and numeric pre-release/build identifiers) to integers without bounding their length. A single large all-digit component therefore forces a super-linear, non-yielding base-10 to arbitrary-precision integer conversion (String.to_integer/1, i.e. :erlang.binary_to_integer/1) that pins a BEAM scheduler, and a larger component raises an uncaught SystemLimitError that crashes the calling process. A single moderately sized string (around one megabyte) is enough; no authentication is required.<br /> <br /> This is reachable from the public entry points Version.parse/1, Version.parse!/1, Version.match?/3, Version.compare/2, and Version.parse_requirement/1, which applications routinely call on untrusted input such as HTTP parameters, dependency-manifest fields, and package metadata.<br /> <br /> This vulnerability is associated with program files lib/version.ex and program routines &amp;#39;Elixir.Version.Parser&amp;#39;:parse_digits/2.<br /> <br /> This issue affects Elixir: from 1.5.0 before 1.20.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/06/2026

CVE-2026-52904

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> drm/nouveau: fix nvkm_device leak on aperture removal failure<br /> <br /> When aperture_remove_conflicting_pci_devices() fails during probe, the<br /> error path returns directly without unwinding the nvkm_device that was<br /> just allocated by nvkm_device_pci_new(). This leaks both the device<br /> wrapper and the pci_enable_device() reference taken inside it.<br /> <br /> Jump to the existing fail_nvkm label so nvkm_device_del() runs and<br /> balances both. The leak was introduced when the intermediate<br /> nvkm_device_del() between detection and aperture removal was dropped<br /> in favor of creating the pci device once.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-52905

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> mm/damon/core: disallow non-power of two min_region_sz on damon_start()<br /> <br /> Commit d8f867fa0825 ("mm/damon: add damon_ctx-&gt;min_sz_region") introduced<br /> a bug that allows unaligned DAMON region address ranges. Commit<br /> c80f46ac228b ("mm/damon/core: disallow non-power of two min_region_sz")<br /> fixed it, but only for damon_commit_ctx() use case. Still, DAMON sysfs<br /> interface can emit non-power of two min_region_sz via damon_start(). Fix<br /> the path by adding the is_power_of_2() check on damon_start().<br /> <br /> The issue was discovered by sashiko [1].
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-47899

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Electron preload script in Logseq exposes an API method that allows the renderer process to invoke IPC handlers without proper path validation. An attacker with JavaScript execution in the renderer (e.g. via XSS or a malicious plugin), can read, write, or delete arbitrary files on the user&amp;#39;s system.<br /> While only version v0.10.15 was tested and confirmed as vulnerable, status of other versions is unknown since this issue was not addressed by a patch.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026

CVE-2026-47900

Fecha de publicación:
09/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Logseq is vulnerable to a stored cross-site scripting (XSS). A malicious plugin can include a JavaScript payload in the "name" field of its "package.json" file, which is rendered using "innerHTML" without proper sanitization, allowing the execution of arbitrary code in the privileged host context.<br /> While only version v0.10.15 was tested and confirmed as vulnerable, status of other versions is unknown since this issue was not addressed by a patch.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/06/2026