Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-44854

Fecha de publicación:

12/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Command injection vulnerabilities exist in the web-based management interface of AOS-8 and AOS-10 Operating Systems. Successful exploitation could allow an authenticated remote attacker to upload arbitrary files to the underlying operating system, potentially leading to remote code execution as a privileged user.

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44855

Fecha de publicación:

12/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Stack-based buffer overflow vulnerabilities exist in several underlying management service components accessed through the command-line interface of the AOS-8 and AOS-10 Operating Systems. An authenticated attacker with administrative privileges could exploit these vulnerabilities by sending specially crafted requests to the affected services. Successful exploitation could allow the attacker to execute arbitrary code with elevated privileges on the underlying operating system.

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44856

Fecha de publicación:

12/05/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44857

Fecha de publicación:

12/05/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44858

Fecha de publicación:

12/05/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44859

Fecha de publicación:

12/05/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44860

Fecha de publicación:

12/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** SQL injection vulnerabilities exist in several underlying service components accessible through the AOS-8 and AOS-10 command-line interface and management protocol. An authenticated attacker with administrative privileges could exploit these vulnerabilities by injecting crafted input into parameters that are passed unsanitized to backend database queries. Successful exploitation could allow the attacker to execute arbitrary commands on the underlying operating system.

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44861

Fecha de publicación:

12/05/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44862

Fecha de publicación:

12/05/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44863

Fecha de publicación:

12/05/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

12/05/2026

CVE-2026-44221

Fecha de publicación:

12/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** ArcadeDB is a Multi-Model DBMS. Prior to 2.6.4, authenticated users and API tokens scoped to a specific database could read, write, and mutate schema on any other database on the same server. Two distinct defects contributed: (1) ServerSecurityUser.getDatabaseUser() returned a DB user with an uninitialized fileAccessMap, which requestAccessOnFile treated as allow-all; (2) ArcadeDBServer.createDatabase() omitted factory.setSecurity(...) so any database created via POST /api/v1/server {"command":"create database X"} had its entire record-level authorization system silently disabled. In combination, record-level and database-level authorization could be bypassed by any authenticated principal. This vulnerability is fixed in 2.6.4.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

12/05/2026

CVE-2026-44222

Fecha de publicación:

12/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** vLLM is an inference and serving engine for large language models (LLMs). From 0.6.1 to before 0.20.0, there is a a Token Injection vulnerability in vLLM’s multimodal processing. Unauthenticated, text-only prompts that spell special tokens are interpreted as control. Image and video placeholder sequences supplied without matching data cause vLLM to index into empty grids during input-position computation, raising an unhandled IndexError and terminating the worker or degrading availability. Multimodal paths that rely on image_grid_thw/video_grid_thw are affected. This vulnerability is fixed in 0.20.0.

Gravedad CVSS v3.1: MEDIA

Última modificación:

12/05/2026

Suscribirse a Vulnerabilidades