Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-8672

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Use of default password vulnerability in syslink software AG Avantra on Linux, Windows allows Try Common or Default Usernames and Passwords.<br /> <br /> This issue affects Avantra: before 25.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/06/2026

CVE-2026-8671

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Insertion of sensitive information into log file vulnerability in syslink software AG Avantra on Linux, Windows allows Resource Leak Exposure.<br /> <br /> This issue affects Avantra: before 25.3.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2026

CVE-2026-8670

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Insufficient session expiration vulnerability in syslink software AG Avantra on Linux, Windows allows Reusing Session IDs (aka Session Replay).<br /> <br /> This issue affects Avantra: before 25.3.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/06/2026

CVE-2026-44417

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The fix for CVE-2025-48913: Apache CXF: Untrusted JMS configuration can lead to RCE was not complete, meaning that another path in the code might lead to code execution capabilities, if untrusted users are allowed to configure JMS for Apache CXF. <br /> Users are recommended to upgrade to versions 4.2.1, 4.1.6 or 3.6.11, which fix this issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2026

CVE-2026-44930

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** An LDAP injection vulnerability in the LDAP Certificate repository of the XKMS server in Apache CXF may allow an attacker to retrieve arbitrary certificates from the repository. <br /> Users are recommended to upgrade to versions 4.2.1, 4.1.6 or 3.6.11, which fix this issue.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2026

CVE-2026-25606

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A SQL injection vulnerability has been identified in STER. Improper neutralization of input provided by user into multiple Search Filters allows for SQL Injection attacks. It allows an authenticated attacker to view sensitive data such as data belonging to other users, or any<br /> other data that the application itself is able to access<br /> <br /> This issue was fixed in version 9.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/05/2026

CVE-2026-25607

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Use of a weak password encoding algorithm in STER software allows the value of the password to be guessed after analyzing how passwords with known values are encoded.<br /> <br /> This issue was fixed in version 9.5.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/05/2026

CVE-2026-25608

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** STER uses unencrypted TCP traffic to transmit data over the network. It allows an attacker to conduct a Man-In-The-Middle attack and obtain sensitive data such as passwords, personal data, or authentication tokens.<br /> <br /> This issue was fixed in version 9.5.
Gravedad CVSS v4.0: BAJA
Última modificación:
22/05/2026

CVE-2026-8684

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The MotoPress Hotel Booking plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 6.0.1. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to overwrite or delete the internal notes (_mphb_booking_internal_notes) of any booking by supplying an arbitrary booking ID. The nonce for this action is output in the HTML source of every public page through wp_localize_script (MPHB._data.nonces), so any unauthenticated visitor can obtain a valid nonce and perform the action without any account or prior interaction.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2026

CVE-2026-8692

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Vedrixa Forms – User Registration Form, Signup Form &amp; Drag &amp; Drop Form Builder plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 1.1.1. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to overwrite the structure of any form — adding, removing, or altering fields — by writing attacker-controlled data to the plugin&amp;#39;s FORMS database table. The &amp;#39;ajax-nonce&amp;#39; nonce used by this handler is injected into the public frontend via wp_localize_script(), so any authenticated user who visits a page containing a form shortcode can obtain it without any elevated access.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2026

CVE-2026-9011

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Ditty – Responsive News Tickers, Sliders, and Lists plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 3.1.65. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to retrieve the full item content of non-public Dittys — including drafts, pending, scheduled, and disabled entries — by enumerating integer post IDs against the ditty_init AJAX endpoint. Unlike the non-AJAX init() counterpart, init_ajax() does not verify that the requested Ditty has a &amp;#39;publish&amp;#39; post status before loading and returning its items, allowing content that administrators explicitly withheld from public view to be extracted.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2026

CVE-2026-7615

Fecha de publicación:
22/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Widget Context plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.3.3. This is due to missing or incorrect nonce validation on the save_widget_context_settings function. This makes it possible for unauthenticated attackers to modify widget visibility context settings stored in the WordPress options table via a forged POST request to /wp-admin/widgets.php via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2026