Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-7882

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Concrete CMS 9.5.0 and below is vulnerable to unauthorized file deletion due to an Inverted CSRF token check in the DeleteFile controller. The code throws an error when the token IS valid and proceeds with file deletion when the token is invalid or missing. This effectively disables CSRF protection for the file deletion endpoint, allowing cross-site request forgery attacks against users who have permission to edit conversation messages. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with a vector of CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Tristan Mandani for reporting.
Gravedad CVSS v4.0: BAJA
Última modificación:
26/05/2026

CVE-2026-8238

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Concrete CMS 9.5.0 and below is vulnerable to IDOR. The '/ccm/frontend/conversations/message_page' endpoint returns the full content of any conversation message. An unauthenticated attacker can enumerate all conversation messages, including messages from restricted pages, member-only areas, and the moderation queue. File attachments with download URLs are also exposed. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with Vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. Thanks Tristan Madani for reporting.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/05/2026

CVE-2026-8237

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Concrete CMS 9.5.0 and below is vulnerable to IDOR. The `/ccm/frontend/conversations/message_detail` endpoint returns the full content of any conversation message. An unauthenticated attacker can enumerate all conversation messages, including messages from restricted pages, member-only areas, and the moderation queue. File attachments with download URLs are also exposed. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with Vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. Thanks Eldudareeno for reporting.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/05/2026

CVE-2026-8236

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Concrete CMS 9.5.0 and below is vulnerable to IDOR combined with a missing authentication gate. The endpoint /ccm/system/dialogs/file/usage/{fID} accepts an integer file ID in the URL and returns internal site structure data (page IDs, versions, URL paths) to anyone who sends a GET request. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. Thanks Winston Crooker for reporting.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/05/2026

CVE-2026-8139

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Concrete CMS 9.5.0 and below is vulnerable to Stored XSS via external-link page cvName because updateCollectionAliasExternal bypasses being sanitized. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.0 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N.  Thanks Yonatan Drori (Tenzai) for reporting.
Gravedad CVSS v4.0: BAJA
Última modificación:
26/05/2026

CVE-2026-6960

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The BookingPress Pro plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the 'bookingpress_validate_submitted_booking_form_func' function in all versions up to, and including, 5.6. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. Note: The vulnerability can only be exploited if a signature custom field is added to the booking form.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2026

CVE-2026-7879

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In Concrete CMS 9.5.0 and below,  the submit_password() method in concrete/controllers/single_page/download_file.php allows unauthorized file access since downloading<br /> permission-restricted files bypasses the view_file permission check. Files without passwords can be downloaded and any user who knows a file&amp;#39;s password can download a password protected file regardless of whether they have permission to access the file. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N.  Thanks Youssef Eid for reporting
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2026

CVE-2026-7881

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Concrete CMS 9.5.0 and below is subject to Insecure Direct Object Reference (IDOR) in the Express Entry Detail block via the exEntryID parameter. This IDOR leads to unauthorized access to all Express form submissions. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. Thanks Tristan Madani for reporting.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2026

CVE-2026-4093

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In the Drupal 7 Term Reference Tree module, two stored XSS vectors exist in the widget/formatter rendering pipeline.<br /> <br /> Vector A (token display templates): When the Token module is enabled and token display templates are configured, attacker-controlled token output (e.g., term description) is rendered without proper sanitization. Any user who can edit the referenced taxonomy terms can inject HTML/JS that executes when the field is rendered.<br /> <br /> Vector B (term label rendering): Taxonomy term labels are not properly sanitized before being rendered in the widget, allowing a user with permission to create or edit taxonomy terms to inject scripts into the term name that execute when a form containing the widget is viewed.<br /> <br /> Exploit affects versions 7.x-1.x up to and including 7.x-1.11.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-4929

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Simple Hierarchical Select (SHS) for Drupal 7 contains cross-site scripting risk due to improper output escaping of term-derived text. Confirmed affected paths include field formatter output (shs_field_formatter_view) and term-tree child-term data generation (shs_term_get_children). Malicious taxonomy term names can be rendered unsafely depending on output context.<br /> This affects versions from 7.x-1.0 through (and including) 7.x-1.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/06/2026

CVE-2026-5091

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Catalyst::Plugin::Authentication versions through 0.10024 for Perl is susceptible to timing attacks.<br /> <br /> These versions use Perl&amp;#39;s built-in eq comparison. Discrepencies in timing could be used to guess the underlying hash or password.
Gravedad: Pendiente de análisis
Última modificación:
22/05/2026

CVE-2026-22678

Fecha de publicación:
21/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Webmin before 2.641 contains a stored cross-site scripting vulnerability in the email template description field of the System and Server Status module that allows low-privileged authenticated attackers to execute arbitrary JavaScript in the browser context of administrators by injecting unsanitized input stored in save_tmpl.cgi and rendered unescaped in list_tmpls.cgi.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/05/2026