Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-35593

Fecha de publicación:
20/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Trilium Notes is an open-source, cross-platform hierarchical note taking application for building large personal knowledge bases. Versions 0.102.1 and prior are vulnerable to Local File Inclusion, allowing an authenticated attacker to read sensitive arbitrary files from the server's filesystem. The uploadModifiedFileToAttachment function, which is called when a POST request is received to /api/attachments/{attachmentId}/upload-modified-file, replaces the content of the attachment with the content from another file (whose path is provided in filePath of Request body). After which the content of the attachment can be viewed at /api/attachments/{attachmentId}/download. This exposes sensitive system files such as SSH keys, credentials, configs, and OS files, potentially leading to remote code execution and compromise of co-hosted applications. This issue has been fixed in version 0.102.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-39309

Fecha de publicación:
20/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Trilium Notes is a cross-platform, hierarchical note taking application focused on building large personal knowledge bases. In versions 0.102.1 and prior, the Electron configuration is vulnerable to TCC Bypass via Prompt Spoofing, allowing local attackers to trigger misleading macOS permission prompts by running malicious code under the identity of the trusted app. The root cause is that the RunAsNode fuse allows launching the app in a special Node.js mode using -e to execute arbitrary system commands with Trilium Notes's permissions and identity. An attacker can leverage this through a subprocess to request any sensitive permissions, such as access to hardware (camera, microphone) and TCC-protected files, causing the TCC system prompt to appear as if the request came from Trilium rather than the attacker's code, because macOS treats the subprocess as part of the parent application. Exploitation allows access to TCC-protected resources like the screen, camera, microphone, and folders such as ~/Documents and ~/Downloads, undermining macOS's security model and UI integrity through social engineering. This issue has been fixed in version 0.102.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-34970

Fecha de publicación:
20/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mantis Bug Tracker (MantisBT) is an open source issue tracker. Versions 2.28.1 and prior allow a bugnote author to access the note's Revisions page after losing access to the parent private issue. This issue has been fixed in version 2.28.2.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/05/2026

CVE-2026-34754

Fecha de publicación:
20/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mantis Bug Tracker (MantisBT) is an open source issue tracker. Versions 2.28.1 and prior allow an authenticated user to upload attachments to private Issues they are not authorized to access. This issue has been fixed in version 2.28.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-8495

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in Drupal Date iCal allows Forceful Browsing.<br /> <br /> This issue affects Date iCal: from 0.0.0 before 4.0.15.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2026

CVE-2026-6367

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation ("Cross-site Scripting") vulnerability in Drupal Drupal core allows Cross-Site Scripting (XSS).<br /> <br /> This issue affects Drupal core: from 11.3.0 before 11.3.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-6366

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improperly Controlled Modification of Dynamically-Determined Object Attributes vulnerability in Drupal Drupal core allows Object Injection.<br /> <br /> This issue affects Drupal core: from 8.0.0 before 10.5.9, from 10.6.0 before 10.6.7, from 11.0.0 before 11.2.11, from 11.3.0 before 11.3.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-6365

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation ("Cross-site Scripting") vulnerability in Drupal Drupal core allows Cross-Site Scripting (XSS).<br /> <br /> This issue affects Drupal core: from 8.0.0 before 10.5.9, from 10.6.0 before 10.6.7, from 11.0.0 before 11.2.11, from 11.3.0 before 11.3.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-6871

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation ("Cross-site Scripting") vulnerability in Drupal Obfuscate allows Cross-Site Scripting (XSS).<br /> <br /> This issue affects Obfuscate: from 0.0.0 before 2.0.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2026

CVE-2026-8491

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Check for Unusual or Exceptional Conditions vulnerability in Drupal Node View Permissions allows Forceful Browsing.<br /> <br /> This issue affects Node View Permissions: from 0.0.0 before 1.7.0, from 2.0.0 before 2.0.1.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/05/2026

CVE-2026-8493

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation ("Cross-site Scripting") vulnerability in Drupal Colorbox Inline allows Cross-Site Scripting (XSS).<br /> <br /> This issue affects Colorbox Inline: from 0.0.0 before 2.1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2026

CVE-2026-8492

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Modification of Assumed-Immutable Data (MAID) vulnerability in Drupal Translate Drupal with GTranslate allows Resource Location Spoofing.<br /> <br /> This issue affects Translate Drupal with GTranslate: from 0.0.0 before 3.0.5.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/05/2026