Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-36324

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** SourceCodester Doctor Appointment System 1.0 is vulnerable to Cross Site Scripting (XSS) due to improper handling of user supplied input in the user registration functionality in register.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2026

CVE-2026-35674

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.5.18 contains a scope bypass vulnerability in the Gateway chat.send route that allows scoped clients to execute privileged commands. Attackers with operator.write scope can deliver commands through inherited external routes to bypass operator.approvals and operator.admin scope requirements, enabling unauthorized plugin, config, MCP, allowlist, and ACP mutations.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-35673

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.29 contains an SSRF policy bypass vulnerability in browser debug and export routes that allows reuse of already-open blocked tabs. Attackers with access to these routes can bypass private-network SSRF policies by reusing blocked tabs to export or inspect content that should remain protected.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-35630

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.5.18 contains an authorization bypass vulnerability in QQBot native approval buttons that fails to enforce configured approver identity. Non-approver users can click approval buttons to resolve pending exec or plugin approval requests without proper authorization.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-33384

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** QuickCMS allows a user&amp;#39;s session identifier to be set before authentication. The value of this session ID stays the same after authentication. This behaviour enables an attacker to fix a session ID<br /> for a victim and later hijack the authenticated session.<br /> <br /> This issue was fixed in a patch to version 6.8 published on 15.05.2026, deployments without this patch are still vulnerable.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/05/2026

CVE-2026-33386

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** QuickCMS is vulnerable to Cross-Site Scripting (XSS) through its insecure HTTP-based plugin‑fetching mechanism. A malicious attacker can perform a Man‑in‑the‑Middle (MITM) attack by impersonating the opensolution.org server and serving arbitrary HTML or JavaScript at the plugin list endpoint. When a user accesses the plugin page, the malicious content is automatically fetched, rendered, and executed.<br /> <br /> <br /> This issue was fixed in a patch to version 6.8 published on 15.05.2026, deployments without this patch are still vulnerable.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/05/2026

CVE-2026-34507

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.4.29 contains a policy bypass vulnerability in QQBot admin commands that allows authenticated senders to skip DM-only and allowFrom policy checks. Attackers can route admin commands from unauthorized senders or contexts to execute restricted behavior that policy should have blocked.
Gravedad CVSS v4.0: BAJA
Última modificación:
01/06/2026

CVE-2026-32905

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.5.4 contains an authorization bypass vulnerability in the bundled device-pair plugin that allows non-owner authorized chat senders to issue device-pairing bootstrap codes without proper scope validation. Attackers with chat command access can create setup codes to enroll devices with operator/node capabilities, granting persistent credentials until manual removal.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-32906

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.5.12 contains a privilege escalation vulnerability in Slack plugin approvals that allows exec-authorized users to resolve plugin approvals through the exec approver gate. Attackers with limited exec approval permissions can bypass intended approval splits to approve plugin actions outside operator configuration.
Gravedad CVSS v4.0: BAJA
Última modificación:
01/06/2026

CVE-2026-10099

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** XX-Net V5.16.6 contains a WebSocket frame parsing vulnerability in the WebSocket_receive_worker routine of simple_http_server.py that allows attackers to cause corrupted application data by sending unmasked WebSocket frames. The server unconditionally reads 4 bytes as a masking key regardless of whether the MASK bit is set in the frame header, causing the first 4 bytes of payload to be consumed as a mask key and the remaining payload to be incorrectly XOR-decoded, resulting in data corruption alongside missing RSV bit, opcode, and FIN fragmentation validations.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-10101

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** ACM/MCE assisted-service writes raw referenced pull-secret contents into `InfraEnv.status.conditions[].message` when pull-secret validation fails. A namespace principal with the stock `view` ClusterRole cannot directly read Secrets, but can read `InfraEnv` objects and recover the referenced Secret&amp;#39;s `.dockerconfigjson` data from status.<br /> <br /> This bypasses the Kubernetes/OpenShift RBAC separation between read-only namespace viewers and Secret readers. In the reproduced proof, the same ServiceAccount was denied `get` and `list` on Secrets, but recovered synthetic pull-secret `username`, `password`, `email`, and base64 `auth` fields through `InfraEnv.status`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2026

CVE-2026-10066

Fecha de publicación:
29/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security vulnerability has been detected in Shibby Tomato up to 1.28. This issue affects the function sub_9068 of the file tomatoups.cgi of the component UPS Service. The manipulation leads to stack-based buffer overflow. The attack can be initiated remotely. This project is superseded by FreshTomato. This vulnerability only affects products that are no longer supported by the maintainer.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/05/2026