Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-11523

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw has been found in Tenda W20E 15.11.0.6. This issue affects the function formPortalAuth of the file /goform/PortalAuth of the component Web Management Interface. Executing a manipulation of the argument gotoUrl can lead to stack-based buffer overflow. The attack can be launched remotely. The exploit has been published and may be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026

CVE-2026-11524

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been found in Tenda W20E 15.11.0.6. Impacted is the function modifyWifiFilterRules of the file /goform/modifyWifiFilterRules of the component Web Management Interface. The manipulation of the argument wifiFilterListRemark leads to stack-based buffer overflow. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026

CVE-2026-11528

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was found in Tenda AC18 15.03.05.05. The affected element is the function sub_45304 of the file /goform/getRebootStatus of the component Web Management Interface. The manipulation of the argument callback results in stack-based buffer overflow. The attack may be launched remotely. The exploit has been made public and could be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026

CVE-2026-11529

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was determined in designcomputer mysql-mcp-server up to 0.2.2. The impacted element is the function read_resource of the file src/mysql_mcp_server/server.py of the component mysql URI Handler. This manipulation of the argument uri_str causes sql injection. Remote exploitation of the attack is possible. The exploit has been publicly disclosed and may be utilized. Upgrading to version 0.3.0 is sufficient to resolve this issue. Patch name: 080bef9a96d625ce0dfbde573a08b93497871981. Upgrading the affected component is advised.
Gravedad CVSS v4.0: BAJA
Última modificación:
09/06/2026

CVE-2026-22164

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Software installed and run as a non-privileged user may conduct improper GPU system calls to corrupt kernel heap memory.<br /> <br /> <br /> <br /> By creating resources of certain types and presenting a set of parameters to the affected interface the exploit can be used to corrupt kernel memory.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2026

CVE-2026-29167

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Use After Free vulnerability in Apache HTTP Server with mod_ldap in per-directory configuration<br /> <br /> This issue affects Apache HTTP Server: from 2.4.0 through 2.4.67.<br /> <br /> Users are recommended to upgrade to version 2.4.68, which fixes the issue.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/06/2026

CVE-2026-11522

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was detected in Tenda W20E 15.11.0.6. This vulnerability affects the function formSetPortMirror of the file /goform/setPortMirror. Performing a manipulation of the argument portMirrorMirroredPorts results in stack-based buffer overflow. The attack can be initiated remotely. The exploit is now public and may be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026

CVE-2020-37248

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** OfflineIMAP before 8.0.3 trusts the server with their STARTTLS capability prior to authentication, which allows STRIPTLS/man-in-the-middle attacks, taking over the connection and extracting account credentials in cleartext.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2026

CVE-2025-71315

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> drm/vkms: Convert to DRM&amp;#39;s vblank timer<br /> <br /> Replace vkms&amp;#39; vblank timer with the DRM implementation. The DRM<br /> code is identical in concept, but differs in implementation.<br /> <br /> Vblank timers are covered in vblank helpers and initializer macros,<br /> so remove the corresponding hrtimer in struct vkms_output. The<br /> vblank timer calls vkms&amp;#39; custom timeout code via handle_vblank_timeout<br /> in struct drm_crtc_helper_funcs.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2026

CVE-2026-49234

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** When sending a specifically crafted non-UTF-8 string as select-asn query parameter to the /api/v1/origins endpoint, Routinator crashes. <br /> <br /> This only affects users who allow API access from untrusted networks.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/06/2026

CVE-2026-49235

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** When Routinator encounters a file via RRDP using a specifically crafted Document Type Definition, Routinator crashes.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/06/2026

CVE-2026-49232

Fecha de publicación:
08/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Routinator exits on any error when accepting incoming HTTP or RTR connections, including ones it can recover from such as running out of file descriptors. This condition can be triggered maliciously by an attacker by opening a large number of connections to the HTTP or RTR server.<br /> <br /> This only affects users that make their HTTP or RTR server available to untrusted networks.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2026