Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-52611

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL iControl v4.0.0 was affected by Unhandled Exception - Stack Trace Disclosure vulnerability. The error occurs due to an undefined property being accessed in the application's JavaScript code. Specifically, the code attempts to read the property dashboard key from an object that is undefined. This issue likely stems from one of the following: A missing or improperly initialized object.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/06/2026

CVE-2026-10843

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the OpenShift Cloud Credential Operator Mint-mode IAM policies for AWS. Operator credentials are provisioned with account-wide scope for destructive actions rather than being restricted to cluster-owned resources, enabling cross-scope impact after credential compromise.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2026

CVE-2026-10840

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the OpenShift Pipelines operator. The tekton-scheduler-rolebinding ClusterRoleBinding grants the system:authenticated group write access to Kueue and cert-manager custom resources via the tekton-scheduler-role ClusterRole. When Kueue or cert-manager CRDs are present on the cluster, any authenticated user can disrupt workload scheduling, tamper with scheduling priorities, delete other tenants' Workload objects, or induce cert-manager to overwrite TLS Secrets including the default ingress controller certificate.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2026

CVE-2025-52609

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL iControl was affected by Missing Security Headers vulnerability. which lead to cross-site scripting (XSS) attacks by enabling the built-in XSS filtering mechanisms of modern web browsers.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/06/2026

CVE-2025-52608

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL iControl was affected by Missing Cookie Attributes vulnerability. It was observed that the application is missing several critical cookie attributes, including Secure and SameSite. And also path is set to root.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/06/2026

CVE-2025-52606

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL iControl was affected by Weak Input Validation vulnerability. This weakness is caused during implementation of an architectural security tactic. Received input that is expected to be of a certain type, but it does not validate or incorrectly validates that the input is actually of the expected type.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2026

CVE-2025-12694

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A local privilege escalation vulnerability exists in Forcepoint VPN Client that allows a local non-administrative user to escalate privileges to SYSTEM. This issue affects VPN Client for Windows: versions 6.11.3 and prior.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/06/2026

CVE-2026-49077

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Exposure of Sensitive System Information to an Unauthorized Control Sphere vulnerability in Tips and Tricks HQ WP eMember allows Retrieve Embedded Sensitive Data.<br /> <br /> This issue affects WP eMember: from n/a through v10.2.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2026

CVE-2026-10801

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security vulnerability has been detected in modelscope ms-swift up to 4.2.0. This affects the function Template._save_pil_image of the file swift/template/base.py of the component PIL Image Cache Key Handler. The manipulation leads to use of weak hash. An attack has to be approached locally. A high degree of complexity is needed for the attack. It is indicated that the exploitability is difficult. The exploit has been disclosed publicly and may be used. The pull request to fix this issue awaits acceptance.
Gravedad CVSS v4.0: BAJA
Última modificación:
04/06/2026

CVE-2026-50226

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Fixed AES-128-CBC keys inside the AcerConnect OTA application let attackers forge authorization credentials for arbitrary IMEI numbers. This allows unauthorized actors to list catalog items and extract protected binaries from pre-signed cloud links.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/06/2026

CVE-2026-50225

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The registration path /v1/account/register provides no bot mitigation mechanisms, allowing malicious automated systems to flood the database.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/06/2026

CVE-2026-50224

Fecha de publicación:
04/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The web administration panel binds broadly to the public IPv6 address space on port [::]:8080 without default firewall limits, making internal API endpoints reachable over the WAN.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/06/2026