Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-45151

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** NanoMQ MQTT Broker (NanoMQ) is an all-around Edge Messaging Platform. In 0.24.8 and earlier, quic_stream_recv can dereference a null substream pointer when a substream is in reopen state. The code finishes the AIO with error but does not return before locking c->mtx.
Gravedad CVSS v4.0: BAJA
Última modificación:
01/06/2026

CVE-2026-45294

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to 1.8.219, the password reset endpoint returns visually distinct responses depending on whether the submitted email address belongs to an existing user account, allowing unauthenticated attackers to enumerate valid helpdesk agent email addresses. This vulnerability is fixed in 1.8.219.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2026

CVE-2026-44640

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** NanoMQ MQTT Broker (NanoMQ) is an all-around Edge Messaging Platform. Prior to 0.24.14, aio->prov_data is stored as nni_quic_conn* during dialing, but read as ex_quic_conn* during dialer close. This type confusion causes invalid object interpretation and leads to close-path hang/crash behavior. This vulnerability is fixed in 0.24.14.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2026

CVE-2026-44287

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** FastGPT is an AI Agent building platform. Prior to 4.15.0-beta1, the JavaScript sandbox worker at projects/code-sandbox/src/pool/worker.ts:356 blocks dynamic import() with the regex /\bimport\s*\(/.test(code). JavaScript syntax accepts a block comment between import and (; the regex matches only ASCII whitespace, and the bytes /, *, *, / are not in the \s character class. The payload import/**/("child_process") parses as a syntactically valid dynamic import that the regex does not detect. Because import() is not wrapped by the safeRequire Proxy (which only proxies require), the attacker loads child_process and calls execSync - arbitrary command execution as uid=100(sandbox) inside the sandbox container. This vulnerability is fixed in 4.15.0-beta1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2026

CVE-2026-44285

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** FastGPT is an AI Agent building platform. Prior to 4.15.0-beta1, a Server-Side Request Forgery (SSRF) vulnerability allows an authenticated attacker to bypass the global isInternalAddress network protection and make arbitrary HTTP GET requests to internal network services. This is achieved by exploiting an incomplete fix in the dataset preview endpoint /api/core/dataset/file/getPreviewChunks when utilizing the externalFile data import type. This vulnerability is fixed in 4.15.0-beta1.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2026

CVE-2026-44420

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.26.0, a malicious RDP client can trigger a heap-buffer-overflow write in FreeRDP's server-side clipboard (cliprdr) channel by sending a CB_CLIP_CAPS PDU with a too-small capabilitySetLength. This can crash the server process (remote DoS) and may be exploitable for code execution because it corrupts heap memory. This vulnerability is fixed in 3.26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2026

CVE-2026-44421

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.26.0, a malicious RDP server can trigger a heap-buffer-overflow write in the FreeRDP client by sending crafted RDPGFX PDUs. The bug is in gdi_CacheToSurface: it validates a destination rectangle that is clamped to UINT16_MAX, but then performs the copy using the original cacheEntry->width/height. This can cause a large out-of-bounds heap write and may lead to client crashes or code execution. This bug is reachable from a malicious RDP server, but only when the client has RDPGFX enabled. This vulnerability is fixed in 3.26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2026

CVE-2026-44422

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to 3.26.0, FreeRDP's RDPEAR NDR parser accepts one non-null NDR pointer ref-id for multiple logical pointer fields without tracking the pointed object's expected NDR type or ownership. When the same ref-id is reused across two pointer fields, the parser assigns the same heap object to both output fields. The generic destructor later walks each field independently and destroys/frees both pointers. This causes a malicious-server-triggerable heap use-after-free / double-free in the FreeRDP client's RDPEAR authentication-redirection path. This vulnerability is fixed in 3.26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2026

CVE-2026-42500

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Decoding a paletted BMP file with an out-of-range palette index results in a panic when accessing pixels in the invalid image.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2026

CVE-2026-34127

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A stored<br /> cross-site scripting (XSS) vulnerability has been identified in the web<br /> management interface of TP-Link&amp;#39;s TL-SG108PE v5 switch due to improper sanitation of the SYSNAM<br /> configuration parameter during configuration file import. An attacker with<br /> administrator access can inject malicious script into the device configuration,<br /> which may be stored and executed in the administrator’s browser when the<br /> affected interface is viewed.    <br /> <br /> <br /> <br /> <br /> <br /> Successful<br /> exploitation may allow session cookie theft, unauthorized configuration<br /> changes, or access to sensitive information exposed through the management<br /> interface.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-49386

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In JetBrains YouTrack before 2026.1.13570 improper access control allowed enumeration of restricted issues and articles on Planning Canvas
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2026

CVE-2026-49385

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In JetBrains YouTrack before 2026.1.13570 improper access control allowed low-privileged users to modify service accounts
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2026