Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-11531

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security flaw has been discovered in imvks786 student_management_system up to 9599b560ad3c3b83e75d328b76bedcd489ef1f46. This impacts an unknown function of the file admin/admin_login.php of the component Administrator Login Endpoint. Performing a manipulation of the argument a_usr/a_pwd results in sql injection. The attack is possible to be carried out remotely. The exploit has been released to the public and may be used for attacks. This product adopts a rolling release strategy to maintain continuous delivery. Therefore, version details for affected or updated releases cannot be specified. The project was informed of the problem early through an issue report but has not responded yet.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/06/2026

CVE-2026-11611

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in 389 Directory Server. The Content Synchronization persistent search plugin allows unbounded memory growth when an authenticated client stops reading sync responses, enabling denial of service. Additional race conditions in plugin thread lifecycle can cause crashes during connection teardown or shutdown.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2026

CVE-2026-49756

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of CRLF Sequences (&amp;#39;CRLF Injection&amp;#39;) vulnerability in wojtekmach Req allows multipart parameter smuggling via attacker-influenced part metadata.<br /> <br /> Req.Utils.encode_form_part/2 in lib/req/utils.ex builds the per-part headers by interpolating the caller-supplied name, filename, and content_type values directly into the content-disposition and content-type lines with no escaping or CRLF stripping. A value containing ", \r, or \n closes the surrounding quoted value and starts a new header line; an additional \r\n-- terminates the current part and prepends a smuggled part of the attacker&amp;#39;s choosing.<br /> <br /> This is reachable through every supported way of supplying a part. It is particularly easy when value is a %File.Stream{}, because filename then defaults to Path.basename(stream.path) and POSIX filenames may legitimately contain \r and \n. Any application that forwards user-controlled filenames (or field names / MIME types) through Req.post/2 with form_multipart: lets an attacker inject arbitrary headers into the outgoing multipart body or smuggle additional fields and parts into the request the victim service sends downstream.<br /> <br /> This issue affects req: from 0.5.3 before 0.6.0.
Gravedad CVSS v4.0: BAJA
Última modificación:
09/06/2026

CVE-2026-49975

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Memory Allocation with Excessive Size Value vulnerability in Apache HTTP Server&amp;#39;s mod_http leads to denial of service via malicious HTTP requests.<br /> <br /> This issue affects Apache HTTP Server: from 2.4.17 through 2.4.67.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2026

CVE-2026-46657

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Bludit is a content management system. Versions prior to 3.22.0 have a vulnerability in the user management logic that allows deactivated accounts to maintain access via persistent authentication tokens. When an administrator disables a user account, the application fails to invalidate or clear the associated tokenAuth and tokenRemember fields in the JSON database. Consequently, any user with a pre-existing "Remember Me" cookie can bypass the account disablement and maintain a valid authenticated state. Version 3.22.0 patches the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2026

CVE-2026-49755

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Handling of Highly Compressed Data (Data Amplification) vulnerability in wojtekmach Req allows attacker-controlled HTTP servers to exhaust memory in a Req client via decompression-bomb response bodies.<br /> <br /> Req&amp;#39;s default response pipeline includes Req.Steps.decode_body/1 and Req.Steps.decompress_body/1 in lib/req/steps.ex. decode_body/1 dispatches on the server-supplied content-type (or URL extension) and calls :zip.extract(body, [:memory]) for application/zip, :erl_tar.extract({:binary, body}, [:memory]) for application/x-tar, and :erl_tar.extract({:binary, body}, [:memory, :compressed]) for application/gzip / .tgz. Each returns the full decompressed archive contents as a [{name, bytes}] list in memory, with no per-entry or total size cap. decompress_body/1 walks the content-encoding header and chains :zlib/:brotli/:ezstd decoders, so a response advertising content-encoding: gzip, gzip, gzip inflates through multiple layers without bound.<br /> <br /> Both steps are enabled by default, no caller opt-in is required, and the attacker controls the content-type and content-encoding headers on their own server (or on any host reached via Req&amp;#39;s automatic redirect following). A sub-megabyte response can expand to multiple gigabytes on the victim, crashing the BEAM process.<br /> <br /> This issue affects req: from 0.1.0 before 0.6.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026

CVE-2026-48488

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** phpMyFAQ is an open source FAQ web application. Prior to version 4.1.4, attachment passwords are hashed using SHA-1, a cryptographically broken algorithm. SHA-1 has been vulnerable to collision attacks since 2017 (SHAttered). Version 4.1.4 fixes the issue.
Gravedad CVSS v4.0: BAJA
Última modificación:
09/06/2026

CVE-2026-48913

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Use After Free vulnerability in Apache HTTP Server module mod_http2 when file handles are already exhausted.<br /> <br /> This issue affects Apache HTTP Server: from 2.4.55 through 2.4.67.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2026

CVE-2026-46656

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Bludit is a content management system. Versions prior to 3.22.0 have a Broken Access Control flaw where active sessions remain valid even after the corresponding user account has been physically deleted from the database. This "Ghost Session" allows revoked users to maintain full unauthorized access to the system. Version 3.22.0 fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2026

CVE-2026-46480

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag &amp; drop user interface to build a customized large language model flow. Prior to version 3.1.2, evaluator create and update mass-assignment allows cross-workspace evaluator takeover. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026

CVE-2026-46479

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag &amp; drop user interface to build a customized large language model flow. Prior to version 3.1.2, evaluation create and update mass-assignment allows cross-workspace evaluation takeover. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/06/2026

CVE-2026-46478

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag &amp; drop user interface to build a customized large language model flow. Prior to version 3.1.2, DatasetRow create and update mass-assignment allows cross-workspace row takeover. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/06/2026