Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-44593

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** esm.sh is a no-build content delivery network (CDN) for web development. In 137 and earlier, the legacy router first retrieves a response from legacyServer, parses the incoming request path, and ultimately writes the data to storage via buildStorage.Put. The router concatenates the path components without sanitizing them, producing a storage key. When this key is used, the underlying file system resolves the relative segments and writes the file to the specified path. Thus an attacker can craft a request that writes data to arbitrary locations on the server.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/06/2026

CVE-2026-41565

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** CryptX versions before 0.088_001 for Perl have a stack buffer overflow in four AEAD decrypt_verify helpers.<br /> <br /> The gcm_decrypt_verify, ccm_decrypt_verify, chacha20poly1305_decrypt_verify and eax_decrypt_verify XS routines copied the caller-supplied authentication tag into a fixed 144-byte stack buffer (MAXBLOCKSIZE) without checking the supplied length. A longer tag overwrites the stack past the buffer. Version 0.088 added the clamp to gcm_decrypt_verify, and 0.088_001 added it to the other three.<br /> <br /> Any caller of an affected helper that forwards an attacker-controlled tag longer than the buffer can trigger the overflow.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/05/2026

CVE-2026-35672

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** phpMyFAQ before 4.1.3 contains an authentication bypass vulnerability in API v4.0 where the default empty api.apiClientToken allows unauthenticated users to create and modify FAQ entries. Attackers can send an empty x-pmf-token header to bypass token validation and inject malicious content via POST endpoints /api/v4.0/faq/create, /api/v4.0/category, and /api/v4.0/question.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/05/2026

CVE-2026-35676

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** phpMyFAQ before 4.1.3 contains an unauthenticated password reset vulnerability in the user password update API endpoint that allows attackers to change account passwords without token validation. Attackers can enumerate valid username and email pairs and force immediate password changes by sending PUT requests to the /api/index.php/user/password/update endpoint, causing account disruption and invalidating legitimate user credentials.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/05/2026

CVE-2026-35675

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** phpMyFAQ before 4.1.3 contains an authentication bypass vulnerability in the password reset endpoint that allows unauthenticated attackers to reset any user account password without token verification or email confirmation. Attackers can enumerate valid usernames, obtain plaintext passwords via email, and achieve complete account takeover including administrative access.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/05/2026

CVE-2026-35671

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** phpMyFAQ before 4.1.3 contains an insecure direct object reference vulnerability in the admin API user password endpoint that allows authenticated administrators to change any user&amp;#39;s password without authorization verification. An attacker with low-privilege admin credentials can escalate to SuperAdmin by modifying the userId parameter in the overwrite-password API request.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/05/2026

CVE-2026-9828

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Deserialization of untrusted data vulnerability in QOS.CH Sarl logback logback-core (HardenedObjectInputStream (logback-core) modules) allows Object Injection albeit heavily restricted.<br /> <br /> More precisely, an attacker able to influence serialized data sent to <br /> SimpleSocketServer or SimpleSSLSocketServer can instantiate objects from<br /> classes in the java.lang and java.util packages that are not explicitly<br /> blocked.<br /> <br /> Although deserialization is heavily restricted by HardenedObjectInputStream and no <br /> practical way to achieve remote code execution or significant privilege <br /> escalation has been identified, this issue constitutes a bypass of the <br /> intended security restrictions.<br /> <br /> <br /> <br /> This issue affects logback: through 1.5.32 inclusive.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/05/2026

CVE-2026-8990

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A user with physical access to a smartphone can bypass authentication mechanism of Kidsview mobile application and grant himself full access to the device owner&amp;#39;s account by interacting with application&amp;#39;s push notification.<br /> <br /> This issue was fixed in version 4.4.3
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/05/2026

CVE-2026-8980

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Mennekes Amtron series (firmware versions ≤ 5.22.3) is vulnerable to privilege escalation. An authenticated low-privileged user can change the passwords of the admin (operator) and manufacturer accounts via crafted POST requests.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
28/05/2026

CVE-2026-8979

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Mennekes Amtron series (firmware versions ≤ 5.22.3) is vulnerable to an authentication bypass. An unauthenticated remote attacker can change the password of the user account via a crafted POST request to the /operator/operator endpoint.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
28/05/2026

CVE-2026-49238

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Canonical Multipass before version 1.16.3. The host-side SFTP server component (sshfs_server), which executes with root privileges on the host, contains a path containment bypass vulnerability within its validate_path function in src/sshfs_mount/sftp_server.cpp. The function performs a plain string prefix comparison on requested paths without path separator validation or dot-dot (..) normalization. A local attacker with root privileges inside a guest virtual machine can bypass the FUSE layer by injecting raw SFTP frames (such as an SSH_FXP_OPEN request) directly into the sshfs_server process stdin/stdout pipes via procfs. By supplying a path containing directory traversal sequences that match the allowed mount prefix, the attacker can force the host-side root process to resolve the traversal and open files outside the designated mount boundary. This allows a guest-side user to read arbitrary files on the host filesystem, resulting in a virtual machine escape.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2026

CVE-2026-49237

Fecha de publicación:
28/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Canonical Multipass for macOS before version 1.16.3 due to an incomplete fix for CVE-2025-5199. While the patch in version 1.16.0 updated the ownership of the multipassd daemon binary to root:wheel, five co-located binaries (multipass, qemu-img, qemu-system-aarch64, qemu-system-x86_64, and sshfs_server) in /Library/Application Support/com.canonical.multipass/bin/ retain ownership by the installing user and remain writable. Because the root LaunchDaemon (com.canonical.multipassd.plist) configures a PATH environment variable that prioritizes this user-writable directory and invokes these auxiliary binaries by their bare names, a local attacker can replace an auxiliary binary (such as qemu-img) with a malicious wrapper. When the root daemon subsequently triggers the binary during routine execution (e.g., via multipass launch), the malicious code executes with root privileges, leading to local privilege escalation.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2026