Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-36828

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A command injection vulnerability exists in the /cgi-bin/tools/ajax_cmd endpoint of Panabit PAP-XM320 up to and including v7.7. The CGI component allows authenticated users to execute arbitrary shell commands with root privileges via the action=runcmd parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/05/2026

CVE-2026-36827

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A command injection vulnerability exists in Panabit PAP-XM320 up to and including V7.7. The web management interface invokes the backend helper /usr/sbin/pappiw and passes user-controlled parameters to it. The helper performs unsafe argument processing using eval, which allows command injection when attacker-controlled input is included in the arguments. As a result, an authenticated remote attacker with access to the management interface may execute arbitrary shell commands.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2026

CVE-2026-8706

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Firefox for iOS hosted Reader mode on an unauthenticated local web server, allowing another application on the same device to request arbitrary URLs and receive the response rendered with the signed-in user's cookies. This vulnerability was fixed in Firefox for iOS 151.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2026

CVE-2026-5804

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An improper authentication vulnerability was discovered in the Motorola Factory Test component (com.motorola.motocit). The application contained a reference to a writable file descriptor in external storage which could be used by third party apps running on the device to open a TCP server, exposing sensitive permissions and data. This could allow a local attacker to bypass permission checks and access protected device settings.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/05/2026

CVE-2026-37281

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An OS command injection vulnerability in the /stream-to-vlc Express route in hitarth-gg Zenshin before 2.7.0 allows remote attackers to execute arbitrary commands via the url parameter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2026

CVE-2026-30118

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** scalar/astro v0.1.13 was discovered to contain a Server-Side Request Forgery (SSRF) in the scalar_url query parameter of the Scalar Proxy endpoint. This vulnerability allows unauthenticated attackers to force the backend server to send HTTP requests to attacker-controlled URLs, leading to authentication cookies and headers exposure and possible privilege escalation.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2026

CVE-2026-31069

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** BillaBear (all versions prior to Jan 2026) contains a SQL Injection vulnerability in the EventRepository. User-controlled input from metric filter names and aggregation properties is directly interpolated into SQL queries using sprintf() without proper sanitization or identifier quoting. Although filter values are parameterized, the filter identifiers (keys) are not. An authenticated attacker with ROLE_ACCOUNT_MANAGER permissions can exploit this to execute arbitrary SQL commands.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/05/2026

CVE-2026-31070

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The LalanaChami Pharmacy Management System (commit 5c3d028) allows unauthenticated remote attackers to escalate privileges by self-assigning an administrative role during registration. The /api/user/signup endpoint fails to validate the role parameter in the request body
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2026

CVE-2026-31071

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** API endpoints in LalanaChami Pharmacy Management System (commit 5c3d028) lack authentication middleware. Unauthenticated remote attackers can exploit this to dump all user records (including bcrypt password hashes) via /api/user/getUserData, modify drug inventory, and access private medical prescription data via /api/doctorOder.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2026

CVE-2026-31072

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The JSONSerializer and CBORSerializer in APScheduler (all versions including 3.10.x and 4.0.0a5) are vulnerable to Remote Code Execution (RCE) via Insecure Deserialization. The unmarshal_object function allows for arbitrary class instantiation and state injection by dynamically importing modules and calling __setstate__ on any class available in the Python environment. An attacker can exploit this by submitting a specially crafted JSON or CBOR payload to an application using these serializers
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2026

CVE-2026-30117

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** scalar/astro v0.1.13 was discovered to contain an arbitrary file upload vulnerability in the the scalar_url query parameter of the Scalar Proxy endpoint. This vulnerability allows attackers to execute arbitrary code via uploading a crafted SVG file.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2026

CVE-2026-8711

Fecha de publicación:
19/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** NGINX JavaScript has a vulnerability when the js_fetch_proxy directive is configured with at least one client-controlled NGINX variable (for example, $http_*, $arg_*, $cookie_*) and a location invoking the ngx.fetch() operation from NGINX JavaScript. An unauthenticated attacker can exploit this vulnerability by sending crafted HTTP requests. This may cause a heap buffer overflow in the NGINX worker process leading to a restart. Additionally, attackers can execute code on systems with Address Space Layout Randomization (ASLR) disabled or when the attacker can bypass ASLR. <br /> <br /> <br /> Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
04/06/2026