Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-43965

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Path traversal vulnerability in Gleam&amp;#39;s dependency management allows arbitrary directory deletion via malicious build/packages/packages.toml content.<br /> <br /> Package keys read from build/packages/packages.toml by LocalPackages::read_from_disc are passed without validation to paths.build_packages_package(), which constructs a filesystem path by joining the project build directory with the attacker-controlled key. The resulting path is then passed to fs::delete_directory (which calls remove_dir_all). No check is performed to ensure the path remains within the intended build/packages/ directory. Both absolute paths and relative traversal sequences (e.g. ../) are accepted as package keys, allowing deletion of arbitrary directories.<br /> <br /> An attacker who can cause a victim to run gleam deps download on a project containing a malicious build/packages/packages.toml (e.g. by committing the normally-gitignored file to a repository) can cause arbitrary directories on the victim&amp;#39;s system to be recursively deleted.<br /> <br /> This issue affects Gleam from 0.18.0-rc1 until 1.17.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/06/2026

CVE-2026-41918

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been identified in RUGGEDCOM RST2428P (6GK6242-6PA00) (All versions
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/06/2026

CVE-2026-42795

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Symlink following vulnerability in Gleam&amp;#39;s Hex package export allows files outside the project root to be embedded in the generated package tarball.<br /> <br /> The file collection helpers (gleam_files, native_files, private_files) in compiler-cli/src/fs.rs use follow_links(true) when walking publishable directories such as src/ and priv/. The collected paths are added to the package archive via add_path_to_tar in compiler-cli/src/publish.rs without verifying that the resolved target remains within the project root. A symlink placed under a publishable directory will cause gleam export hex-tarball or gleam publish to embed the contents of the symlink target into the generated Hex package.<br /> <br /> An attacker with write access to the project repository can place a symlink in src/ or priv/ pointing to an arbitrary file. When a maintainer or CI pipeline runs gleam publish or gleam export hex-tarball, local files readable by the publisher (such as secrets, tokens, or SSH keys) are silently embedded into the published package artifact.<br /> <br /> This issue affects Gleam from 0.10.0-rc1 until 1.17.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/06/2026

CVE-2026-39552

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Control of Filename for Include/Require Statement in PHP Program (&amp;#39;PHP Remote File Inclusion&amp;#39;) vulnerability in Code Supply Co. Blueprint allows PHP Local File Inclusion.<br /> <br /> This issue affects Blueprint: from n/a before 1.1.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2026

CVE-2026-39553

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Control of Filename for Include/Require Statement in PHP Program (&amp;#39;PHP Remote File Inclusion&amp;#39;) vulnerability in Select-Themes WaveRide allows PHP Local File Inclusion.<br /> <br /> This issue affects WaveRide: from n/a through 1.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2026

CVE-2026-39555

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Deserialization of Untrusted Data vulnerability in Elated-Themes Askka allows Object Injection.<br /> <br /> This issue affects Askka: from n/a through 1.3.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2026

CVE-2026-35717

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A stack-based buffer overflow in the export_language.cgi binary in VIVOTEK FD8136 firmware FD8136-VVTK-0300a allows authenticated remote attackers to execute arbitrary code as root via a crafted POST request to the /cgi-bin/admin/export_language.cgi endpoint. The handler passes the attacker-controlled Content-Length value directly to fread() as the read size into a fixed-size 0x60-byte stack buffer, overwriting the saved link register. The binary is compiled without stack canaries.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/07/2026

CVE-2026-27351

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in Sekander Badsha Crew HRM allows Exploiting Incorrectly Configured Access Control Security Levels.<br /> <br /> This issue affects Crew HRM: from n/a through 1.2.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2026

CVE-2026-28116

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;) vulnerability in Emilia Projects Progress Planner allows Stored XSS.<br /> <br /> This issue affects Progress Planner: from n/a through 1.9.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2026

CVE-2026-32250

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** NamelessMC is website software for Minecraft servers. A Reflected Cross-Site Scripting (XSS) vulnerability was discovered in version 2.2.4 in the id parameter of the endpoint `/index.php?route=/queries/user/`. The application reflects user-supplied input from the id parameter into the HTML response without proper sanitization or output encoding. An attacker can craft a malicious URL containing JavaScript code. When a victim visits the crafted URL, the injected script executes in the victim&amp;#39;s browser within the context of the vulnerable application. This could allow attackers to execute arbitrary JavaScript, potentially leading to session hijacking, phishing attacks, or manipulation of page content. Version 2.2.5 fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2026

CVE-2026-32685

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Path traversal vulnerability in Gleam&amp;#39;s handling of custom documentation pages allows arbitrary file read and file write outside the intended documentation output directory.<br /> <br /> The documentation.pages entries from gleam.toml are incorporated into filesystem paths without sufficient validation or confinement to the intended project and documentation output directories. The documentation.pages[].path field can be used to write generated documentation files outside the intended build/dev/docs// output directory. The documentation.pages[].source field can be used to read files outside the project directory and embed their contents into generated documentation output.<br /> <br /> An attacker who can convince a victim to run gleam docs build on an untrusted project, or with untrusted gleam.toml content, can cause local files readable by the victim to be included in generated documentation artifacts, and can cause generated documentation files to be written outside the intended docs output directory.<br /> <br /> This issue affects Gleam from 1.16.0 until 1.17.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/06/2026

CVE-2026-10621

Fecha de publicación:
02/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Path traversal in restore handler in Collibra Agent, allows an attacker to write arbitrary files via a crafted ZIP archive. Collibra Agent fails to properly validate and canonicalize file path during ZIP extraction, this can allow an attacker to write files outside the intended extraction directory.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2026