Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-47161

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** RELATE is a web-based courseware package. Prior to commit d66ba5659b459bf1ba56b7109b5f9ecf197cbefb, RELATE LMS configures its Celery workers to accept and deserialize untrusted 'pickle' data. An attacker who can reach the message broker can execute arbitrary commands on the host server. Combined with missing network isolation in the code execution sandbox, this allows an authenticated student to achieve full Remote Code Execution (RCE) on the host system. Commit d66ba5659b459bf1ba56b7109b5f9ecf197cbefb fixes the issue.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/06/2026

CVE-2026-44888

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Pi.Alert is a WIFI / LAN intruder detector with web service monitoring. Prior to 2026-05-07, Pi.Alert&amp;#39;s SaveConfigFile() endpoint writes user-supplied numeric config values (e.g., SMTP_PORT) directly into<br /> pialert.conf without validation. Since pialert.conf is loaded via Python&amp;#39;s exec() every 3–5 minutes by the<br /> background cron process, an attacker can inject arbitrary Python code and achieve unauthenticated OS-level RCE. On<br /> default installations (PIALERT_WEB_PROTECTION = False), no credentials are required. This vulnerability is fixed in 2026-05-07.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/05/2026

CVE-2026-45134

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** LangSmith Client SDKs provide SDK&amp;#39;s for interacting with the LangSmith platform. Prior to LangSmith SDK Python 0.8.0 and JS/TS 0.6.0, the LangSmith SDK&amp;#39;s prompt pull methods (pull_prompt / pull_prompt_commit in Python, pullPrompt / pullPromptCommit in JS/TS) fetch and deserialize prompt manifests from the LangSmith Hub. These manifests may contain serialized LangChain objects and model configuration that affect runtime behavior. When pulling a public prompt by owner/name identifier, the manifest content is controlled by an external party, but prior versions of the SDK did not distinguish this from pulling a prompt within the caller&amp;#39;s own organization. This vulnerability is fixed in LangSmith SDK Python 0.8.0 and JS/TS 0.6.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/05/2026

CVE-2026-45108

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From 2.0.0 to before 3.1.5 and 2.3.11, Himmelblau contained an authentication bypass vulnerability in the Device Authorization Grant (DAG) flow that allowed a user within the same Entra ID domain to obtain a local Unix session as another user by providing their own valid credentials. The vulnerability existed in the token_validate function, which validated domain aliases for legitimate multi-domain scenarios but failed to verify that the local part (username) of the authenticated user&amp;#39;s UPN matched the requested account username. The function only compared domains, not the complete usernames. This vulnerability is fixed in 3.1.5 and 2.3.11.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2026

CVE-2026-45102

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** OneUptime is an open-source monitoring and observability platform. Prior to 10.0.98, OneUptime uses the Node.js&amp;#39; vm module as an isolation primitive. This API was not designed for that and can be escaped via error objects and infinite recursion. This vulnerability is fixed in 10.0.98.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/06/2026

CVE-2026-45104

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** MapServer is a system for developing web-based GIS applications. From 6.4.0 to before 8.6.3, msSLDParseUserStyle always calls _SLDApplyRuleValues(psRule, psLayer, 1); for any carrying — it assumes msSLDParseRule added one class. When the rule has no symbolizer (a structurally valid SLD), msSLDParseRule adds zero, and _SLDApplyRuleValues ends up indexing _class[-1], resulting in a NULL pointer dereference. A 200-byte well-formed SLD via the WMS SLD_BODY= parameter is enough to trigger this, no auth required. This vulnerability is fixed in 8.6.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2026

CVE-2026-44886

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Pi.Alert is a WIFI / LAN intruder detector with web service monitoring. From 2024-06-29 to before 2026-05-07, the web application endpoint is vulnerable to SQL injection. The /pialert/php/server/devices.php route accepts requests from unauthenticated users when the action URL parameter is set to getDevicesTotals. The scansource URL parameter is then injected in a SQL query. This vulnerability is fixed in 2026-05-07.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/05/2026

CVE-2026-44887

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Pi.Alert is a WIFI / LAN intruder detector with web service monitoring. Prior to 2026-05-07, Pi.Alert&amp;#39;s web-based configuration editor allows arbitrary Python code to be injected into pialert.conf. Since the background scan daemon loads this file via Python&amp;#39;s exec(), injected code executes as the daemon process. With web protection disabled (the default configuration), no authentication is required, making this an unauthenticated Remote Code Execution vulnerability. This vulnerability is fixed in 2026-05-07.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/05/2026

CVE-2026-44590

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Sherlock hunts down social media accounts by username across social networks. Prior to 0.16.1, the GitHub Actions workflow validate_modified_targets.yml is vulnerable to command injection via the pull_request_target trigger. Any GitHub user can execute arbitrary commands on the CI runner and exfiltrate the GITHUB_TOKEN by opening a pull request. No approval, review, or merge is required. This vulnerability is fixed in 0.16.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/05/2026

CVE-2026-44681

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to 1.6.12 and 1.7.1, an unauthenticated open redirect in Authlib&amp;#39;s OpenIDImplicitGrant and OpenIDHybridGrant authorization endpoint lets a remote attacker cause the authorization server to issue an HTTP 302 to an attacker-chosen URL by submitting an authorization request that omits the openid scope. This vulnerability is fixed in 1.6.12 and 1.7.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2026

CVE-2026-44724

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** systeminformation is a System and OS information library for node.js. From 4.17.0 to 5.31.5, on Linux, systeminformation is vulnerable to command injection in networkInterfaces() when an active NetworkManager connection profile name contains shell metacharacters. The vulnerable value is obtained internally from real nmcli device status output. The library sanitizes the network interface name before using it in shell commands, but it does not apply equivalent sanitization to the parsed NetworkManager connection profile name. That unsanitized connectionName is then interpolated into three shell command strings executed through execSync(). This vulnerability is fixed in 5.31.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/07/2026

CVE-2026-42877

Fecha de publicación:
27/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** FacturaScripts is an open source accounting and invoicing software. In 2025.92 and earlier, a stored Cross-Site Scripting (XSS) vulnerability exists in the product search modal of sales (Core/Lib/AjaxForms/SalesModalHTML.php) and purchases documents (Core/Lib/AjaxForms/PurchasesModalHTML.php). An authenticated user with access to the warehouse module can create a product with a malicious reference that executes arbitrary JavaScript in the browser of any other user who opens the product search modal inside an invoice, order, or delivery note.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2026