Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-10268

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A weakness has been identified in janet-lang janet up to 1.41.0. This vulnerability affects the function unmarshal_one_fiber of the file src/core/marsh.c. Executing a manipulation can lead to integer overflow. It is possible to launch the attack on the local host. The exploit has been made available to the public and could be used for attacks. This patch is called d9b1d711ea1fde52ac73a82088b512a3e17bad0d. A patch should be applied to remediate this issue.
Gravedad CVSS v4.0: BAJA
Última modificación:
01/06/2026

CVE-2026-10118

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in Poppler's Splash backend. A remote attacker could exploit this vulnerability by crafting a malicious PDF file that, when rendered, triggers an integer overflow in the `tilingPatternFill` function. This overflow leads to an undersized heap memory allocation, allowing a subsequent out-of-bounds write. Successful exploitation could result in arbitrary code execution, information disclosure, or denial of service within the context of the application processing the PDF.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2026

CVE-2022-4991

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tychon includes an OpenSSL component that specifies an OPENSSLDIR variable as a subdirectory that may be controllable by an unprivileged user on Windows. Tychon contains a privileged service that uses this OpenSSL component. A user who can place a specially-crafted openssl.cnf file at an appropriate path may be able to achieve arbitrary code execution with SYSTEM privileges.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2026

CVE-2026-8931

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A critical Remote Code Execution (RCE) vulnerability exists in Disig Web Signer versions 2.0.3 through 2.5.3.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
01/06/2026

CVE-2026-48839

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;) vulnerability in VeronaLabs WP Statistics allows DOM-Based XSS.<br /> <br /> This issue affects WP Statistics: from n/a through 14.16.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2026

CVE-2026-48865

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;) vulnerability in ThimPress LearnPress allows Reflected XSS.<br /> <br /> This issue affects LearnPress: from n/a through 4.3.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2026

CVE-2026-48866

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Limitation of a Pathname to a Restricted Directory (&amp;#39;Path Traversal&amp;#39;) vulnerability in Rocketgenius Inc. Gravity Forms allows Path Traversal.<br /> <br /> This issue affects Gravity Forms: from n/a through 2.10.0.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/06/2026

CVE-2026-48879

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect Privilege Assignment vulnerability in Sergey AIWU allows Privilege Escalation.<br /> <br /> This issue affects AIWU: from n/a through 1.4.17.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/06/2026

CVE-2026-48559

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Lightweight Music Server (LMS) though 3.76.0 contains a stored cross-site scripting vulnerability that allows attackers to execute arbitrary JavaScript by embedding malicious HTML in media file metadata tags such as GENRE, ARTIST, or ALBUM. Attackers can introduce a crafted media file into the victim&amp;#39;s library, causing the payload to be saved during library scanning and executed automatically in the web interface due to tag content being rendered using Wt::TextFormat::UnsafeXHTML without sanitization in src/lms/ui/Utils.cpp.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-42682

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in Tomdever wpForo Forum allows Exploiting Incorrectly Configured Access Control Security Levels.<br /> <br /> This issue affects wpForo Forum: from n/a through 3.0.6.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/06/2026

CVE-2026-42683

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;) vulnerability in e4jvikwp VikBooking Hotel Booking Engine &amp; PMS allows DOM-Based XSS.<br /> <br /> This issue affects VikBooking Hotel Booking Engine &amp; PMS: from n/a through 1.8.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2026

CVE-2026-42251

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Use of hard-coded credentials in KS-SOMED allowed an unauthorized attacker access to FTP server that hosted the application&amp;#39;s update packages. The attacker with these credentials could upload a malicious update file, which then may have been distributed and installed on client machines as a legitimate update.<br /> <br /> This issue affects KS-SOMED with modules: KSPLUPDFTP.exe up to 30.00.00.056 and ANEKSKLIENT.EXE up to 29.00.02.026<br /> <br /> Beside removing the hard-coded credentials from the code and changing the update process, access granted by previously exposed credentials was limited to read-only.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026