Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-27173

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** JWT tokens that were used by workers in Kubernetes Executors have been exposed to users who had read only access to Kuberentes Pods. This could allow users with just read-only access to perform actions that were only available to running tasks via Task SDK and potentially allow to modify state of Airflow Database for tasks.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2026

CVE-2026-8073

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation and missing capability check in the 'downloadZIP' function in all versions up to, and including, 6.0.6. This makes it possible for unauthenticated attackers to read and delete arbitrary files limited in the WordPress uploads base directory.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/05/2026

CVE-2026-8096

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 6.0.6. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to view all Kirki frontend forms and read stored visitor form submission data, including contact details, messages, and any other visitor-provided information submitted through site forms.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-8370

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Execution with unnecessary privileges vulnerability in Broadcom Automic Automation Agent Unix on Linux x64, Linux Power 64 BE, Linux Power 64 LE, zLinux (zSeries), AIX, Solaris x64, Solaris Sparc 64 allows Privilege Escalation, Target Programs with Elevated Privileges.<br /> <br /> This issue affects Automic Automation:
Gravedad CVSS v4.0: ALTA
Última modificación:
19/05/2026

CVE-2026-41470

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** LIVE555 before 2026.04.22 contains an authorization bypass vulnerability in RTSP session command handling that allows attackers to replay valid Session tokens from unauthenticated connections. Attackers who obtain a valid Session token can issue PLAY and TEARDOWN commands from a second TCP connection without authentication, causing server crashes through virtual function call errors or disrupting active streams by terminating victim sessions.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/05/2026

CVE-2026-33741

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** EspoCRM is an open source customer relationship management application. Versions 9.3.3 and below allow authenticated users to upload SVG attachments through normal attachment-capable fields and later serve those SVG files as top-level inline documents through both the attachment and image entry points, resulting in stored cross-user XSS reachable through a normal attachment workflow. Although inline SVG script is blocked by the response CSP, the same CSP still allows same-origin external script. As a result, an attacker can upload a malicious SVG together with a second attacker-controlled JavaScript attachment, then trick another user into opening the SVG to execute JavaScript in the victim&amp;#39;s EspoCRM origin. This issue has been fixed in version 9.3.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-33642

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Kitty is a cross-platform GPU based terminal. In versions 0.46.2 and below, the handle_compose_command() function in kitty/graphics.c performs bounds validation on composition offsets using unsigned 32-bit arithmetic that is subject to integer wrapping, potentially leading to Heap Buffer Over-Read/Write. An attacker who can write escape sequences to a kitty terminal (e.g., via a malicious file, SSH login banner, or piped content) can supply crafted x_offset/y_offset values that pass the bounds check after wrapping but cause massive out-of-bounds heap memory access in compose_rectangles(). No user interaction is required. No non-default configuration is required. The attacker only needs the ability to produce output in a kitty terminal window. This issue has been fixed in version 0.47.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/05/2026

CVE-2026-33637

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Faraday is an HTTP client library abstraction layer that provides a common interface over many adapters. Versions 2.0.0 through 2.14.1 still allow protocol-relative host override when the request target is passed as a URI object (rather than a String) to Faraday::Connection#build_exclusive_url. This bypasses the February 2026 fix for GHSA-33mh-2634-fwr2 and enables off-host request forgery: a request built from a fixed-base Faraday::Connection can be redirected to an attacker-controlled host, forwarding connection-scoped values such as Authorization headers and default query parameters. This issue has been fixed in version 2.14.3.
Gravedad: Pendiente de análisis
Última modificación:
21/05/2026

CVE-2026-34154

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Discourse is an open-source discussion platform. In versions prior to 2026.1.4, 2026.3.1, 2026.4.1 and 2026.5.0-latest.1, a vulnerability in the discourse-subscriptions plugin allows users to gain access to subscription-gated groups without completing payment. This issue has been fixed in versions 2026.1.4, 2026.3.1, 2026.4.1 and 2026.5.0-latest.1.
Gravedad CVSS v4.0: BAJA
Última modificación:
02/06/2026

CVE-2026-32738

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** libheif is a HEIF and AVIF file format decoder and encoder. In versions 1.21.2 and below, a crafted 792-byte HEIF sequence file with samples_per_chunk=0 in the stsc box causes an unsigned integer underflow in the Chunk constructor (m_last_sample = 0 + 0 - 1 = UINT32_MAX), mapping all samples to an empty chunk and resulting in a denial of service. When any sample is accessed, the library reads from index 0 of an empty std::vector, causing a guaranteed SEGV (null-page read). The file parses successfully without producing an error; the crash occurs on the first frame access. This issue has been fixed in version 1.22.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-8605

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In ScadaBR version 1.2.0, a Use of Hard-Coded Credentials vulnerability could allow an attacker to access the SCADA system as admin.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2026

CVE-2026-8604

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In ScadaBR version 1.2.0, a CSRF vulnerability could allow an attacker to trigger any authenticated action through a victim&amp;#39;s session by luring any logged-in user to a malicious webpage.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/05/2026