Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-48210

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An improper default configuration in OTRS 2026.3.1 causes ticket article forwarding actions to enforce the “Is visible for customer” flag by default and prevent users from disabling it via the UI. This leads to unintended exposure of internal ticket information to the External Frontend<br /> <br /> This issue affects OTRS 2026.3.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2026

CVE-2026-10197

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was detected in Assimp up to 6.0.4. Affected is the function glTF2Importer::ImportEmbeddedTextures in the library code/AssetLib/glTF2/glTF2Importer.cpp of the component TF File Handler. The manipulation results in null pointer dereference. The attack is only possible with local access. The exploit is now public and may be used. It is advisable to implement a patch to correct this issue. The pull request to fix this issue awaits acceptance.
Gravedad CVSS v4.0: BAJA
Última modificación:
01/06/2026

CVE-2026-8796

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Sereal::Decoder versions before 5.005 for Perl allow heap out-of-bounds read via crafted input.<br /> <br /> In Perl/Decoder/srl_decoder.c, srl_read_object() and srl_read_hash() process a COPY tag, a back-reference whose target byte the decoder re-decodes as a fresh tag. When that target byte matches the SHORT_BINARY pattern (an inline string whose length is encoded in the low bits of the tag), the resulting read is not bounded to precede the COPY tag&amp;#39;s own offset and can run past the end of the input buffer. An attacker controlled COPY offset can land inside a previously decoded value rather than on a tag boundary, planting a byte that the decoder reads as a SHORT_BINARY tag and consuming up to 31 following bytes from the heap as a class name (OBJECT path) or hash key (HASH path).
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2026

CVE-2026-10193

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security flaw has been discovered in OFCMS up to 1.1.3. The impacted element is the function Query of the file ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\ComnController.java of the component ComnController. Performing a manipulation of the argument system.user.query results in sql injection. The attack may be initiated remotely. The exploit has been released to the public and may be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.
Gravedad CVSS v4.0: BAJA
Última modificación:
01/06/2026

CVE-2026-10194

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A weakness has been identified in OFFIS DCMTK 3.7.0. This affects the function DcmQueryRetrieveIndexDatabaseHandle::deleteOldestImages of the file dcmqrdb/libsrc/dcmqrdbi.cc of the component dcmqrscp. Executing a manipulation can lead to heap-based buffer overflow. The attack may be launched remotely. This patch is called 0f78a4ef6f645ea5530166e445e5436a5de58e75. A patch should be applied to remediate this issue.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-10192

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was identified in Tenda W12 3.0.0.7(4763). The affected element is the function set_local_time_0 of the file /bin/httpd. Such manipulation of the argument Time leads to stack-based buffer overflow. The attack can be launched remotely. The exploit is publicly available and might be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-10189

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been found in Tenda W12 3.0.0.7(4763). This vulnerability affects the function cgiSysTimeInfoSet of the file /bin/httpd. The manipulation of the argument sec leads to stack-based buffer overflow. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-10191

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was determined in Tenda W12 3.0.0.7(4763). Impacted is the function cgiWifiMacFilterSet of the file /bin/httpd. This manipulation of the argument wifiMacFilterSet.macList.mac causes stack-based buffer overflow. The attack can be initiated remotely. The exploit has been publicly disclosed and may be utilized.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-10190

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was found in Tenda W12 3.0.0.7(4763). This issue affects the function cgiSysWebTimeoutSet of the file /bin/httpd of the component Web Management Interface. The manipulation of the argument web_over_time results in denial of service. It is possible to launch the attack remotely. The exploit has been made public and could be used.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-10188

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw has been found in Tenda W12 3.0.0.7(4763). This affects the function cgistaKickOff of the file /bin/httpd. Executing a manipulation of the argument staMac can lead to stack-based buffer overflow. The attack may be performed from remote. The exploit has been published and may be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-10187

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was detected in Totolink N300RH 6.1c.1353_B20190305. Affected by this issue is the function setWiFiBasicConfig of the file wireless.so of the component Web Management Interface. Performing a manipulation of the argument KeyStr results in stack-based buffer overflow. The attack is possible to be carried out remotely. The exploit is now public and may be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-10186

Fecha de publicación:
31/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security vulnerability has been detected in code-projects Online Hospital Management System 1.0. Affected by this vulnerability is an unknown functionality of the file /patient.php. Such manipulation of the argument editid leads to sql injection. The attack can be executed remotely. The exploit has been disclosed publicly and may be used.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026