Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-46477

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, dataset create and update mass-assignment allows cross-workspace dataset takeover. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/06/2026

CVE-2026-46440

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, the checkBasicAuth endpoint validates credentials in plaintext without rate limiting and with direct comparison. This issue has been patched in version 3.1.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/06/2026

CVE-2026-46441

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, a mass assignment vulnerability exists in the assistant update endpoint of FlowiseAI. The endpoint allows authenticated users to modify server-controlled properties such as workspaceId, createdDate, and updatedDate when updating an assistant resource. Due to missing server-side validation and authorization checks, an attacker can manipulate the workspaceId field and reassign assistants to arbitrary workspaces. This breaks tenant isolation in multi-workspace environments. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/06/2026

CVE-2026-46442

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, POST /api/v1/node-custom-function lacks route-level authorization, allowing any authenticated user or API key to submit arbitrary JavaScript to the Custom JS Function node. When E2B_APIKEY is not configured — the common deployment case — Flowise executes this code inside a NodeVM sandbox. This sandbox can be escaped, allowing an attacker to reach the host process object and execute system commands via child_process. The result is authenticated remote code execution on the Flowise server host. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
11/06/2026

CVE-2026-46443

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, when credentials are fetched with a credentialName filter parameter, the encryptedData field is not stripped from the response. The code properly omits encryptedData when no filter is used but fails to do so when a filter is used. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/06/2026

CVE-2026-46444

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, all CRUD endpoints for OpenAI Assistants Vector Store have no authentication middleware and the route path /api/v1/openai-assistants-vector-store is not in WHITELIST_URLS. However, it is also not protected by the main auth middleware when accessed via API key — the route requires API key auth (not whitelisted), but no permission checks exist on any operation. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/06/2026

CVE-2026-46475

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, assistant create and update mass-assignment allows cross-workspace assistant takeover. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/06/2026

CVE-2026-46476

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Flowise is a drag & drop user interface to build a customized large language model flow. Prior to version 3.1.2, CustomTemplate create and update mass-assignment allows cross-workspace template takeover. This issue has been patched in version 3.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/06/2026

CVE-2026-43951

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Out-of-bounds Read vulnerability in Apache HTTP Server with mod_headers and mod_mime and multiple response languages.<br /> <br /> This issue affects Apache HTTP Server: from 2.4.0 through 2.4.67.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2026

CVE-2026-44119

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Privilege Management vulnerability in Apache HTTP Server 2.4.67 and earlier allows local .htaccess authors to read files with the privileges of the httpd user.<br /> <br /> This issue affects Apache HTTP Server: from through 2.4.67.<br /> <br /> Users are recommended to upgrade to version 2.4.68, which fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2026

CVE-2026-44186

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Loop with Unreachable Exit Condition (&amp;#39;Infinite Loop&amp;#39;) vulnerability in the mod_proxy_ftp module in Apache HTTP Server with an attacker controlled backend FTP server.<br /> <br /> This issue affects undefined: from 2.4.0 through 2.4.67.<br /> <br /> Users are recommended to upgrade to version 2.4.68, which fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2026

CVE-2026-44631

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Buffer Underwrite vulnerability in Apache HTTP Server on crafted regular expressions in the configuration.<br /> <br /> This issue affects Apache HTTP Server: from 2.4.0 through 2.4.67.<br /> <br /> Users are recommended to upgrade to version 2.4.68, which fixes the issue.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/06/2026