Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-40545

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** SOPlanning is vulnerable to Reflected XSS via the taches parameter. An attacker can craft a malicious URL which, when opened by authenticated victim, results in arbitrary JavaScript execution in the victim’s browser.<br /> <br /> This issue affects SOPlanning version 1.55 and below.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-40546

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** SOPlanning is vulnerable to SQL Injection across multiple endpoints and parameters. Attacker with low privileges can inject arbitrary SQL commands, potentially gaining full control over the database.<br /> <br /> This issue affects SOPlanning version 1.55 and below.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-40547

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** SOPlanning is vulnerable to Path Traversal in backup endpoints. Authenticated remote attacker is able to exploit a vulnerable endpoint and construct payloads that allow reading and executing files previously added through the backup functionality. Critically, due to CVE-2026-40543 (Missing Authorization), any backup file can be read by any (unauthorized) user.<br /> <br /> This issue affects SOPlanning version 1.55 and below.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-40548

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** SOPlanning does not verify uploaded file extension. An authenticated attacker with access to the backup functionality can upload a crafted ZIP archive containing a legitimate user.csv file alongside a malicious file, which is extracted on the server. When combined with CVE-2026-40547 (Path Traversal), the malicious file (e.g., a PHP script) can be placed in a web-accessible location and executed via the browser.<br /> <br /> This issue affects SOPlanning version 1.55 and below.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-40549

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** SOPlanning is vulnerable to Cross‑Site Request Forgery (CSRF) in groupe_save create, modify and delete endpoints. An attacker can craft a malicious website that, when visited by an authenticated user, automatically sends a forged GET or POST request to the application.<br /> <br /> This issue affects SOPlanning version 1.55 and below.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-40861

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A Dag author could either (a) create a symlink under their task&amp;#39;s log directory pointing to an arbitrary file readable by the API server process (read-path attack — e.g. `/etc/passwd` or `airflow.cfg`) or (b) supply a `task_id` containing `..` sequences accepted by the Task SDK&amp;#39;s `KEY_REGEX` (write-path attack), and in both cases the FileTaskHandler resolves the log path outside the configured `base_log_folder`, leaking or overwriting arbitrary files. Only affects deployments where the worker log folder is shared with the API server. Users are advised to upgrade to `apache-airflow` 3.2.2 or later. As a defense-in-depth mitigation, deploy the worker and API server with separate log volumes so that worker-controlled paths cannot reach the API server&amp;#39;s filesystem.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2026

CVE-2026-10242

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A weakness has been identified in itsourcecode Content Management System 1.0. This impacts an unknown function of the file /instructions.php. This manipulation of the argument topic_id causes sql injection. It is possible to initiate the attack remotely. The exploit has been made available to the public and could be used for attacks.
Gravedad CVSS v4.0: BAJA
Última modificación:
01/06/2026

CVE-2026-10243

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security vulnerability has been detected in code-projects Smart Parking System 1.0. Affected is an unknown function of the component Admin Endpoint. Such manipulation leads to missing authentication. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used. Multiple endpoints are affected.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-27788

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect permission assignment for critical resource issue exists in ServerView Agents for Windows V11.60.04 and earlier. If this vulnerability is exploited, a local authenticated attacker who can log in to the server where the affected product is installed may obtain SYSTEM privilege.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-32325

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Privilege chaining issue exists in ServerView Agents for Windows V11.60.04 and earlier. If this vulnerability is exploited, a local authenticated attacker who can log in to the server where the affected product is installed may obtain SYSTEM privilege.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-10517

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in Clair. The fetcher component makes outbound HTTP requests to attacker-supplied URIs from manifest layer descriptors without IP or scheme filtering. When PSK authentication is not configured (opt-in, not enforced by default), an unauthenticated attacker can submit a manifest with a URI pointing to internal services or cloud metadata endpoints. The SSRF is reflective for non-200 responses, leaking up to 256 bytes of error body content via CheckResponse error messages. Operator-managed Red Hat Quay deployments auto-configure PSK and are not exposed to the unauthenticated attack vector.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/06/2026

CVE-2026-10236

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been found in SourceCodester Water Billing Management System 1.0. This issue affects some unknown processing of the file /classes/Users.php?f=save of the component User Management Endpoint. Such manipulation leads to improper authorization. The attack may be launched remotely. The exploit has been disclosed to the public and may be used.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026