Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-8835

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM HTTP Server 8.5, and 9.0 is vulnerable to invalid pointer dereference. A privileged user, authenticated to the Administration Server, could exploit this vulnerability to expose sensitive information or cause a denial of service.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/05/2026

CVE-2026-8834

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM HTTP Server 8.5, and 9.0 contains a buffer overflow vulnerability. A privileged user, authenticated to the Administration Server, could exploit this vulnerability to execute remote code or cause a denial of service.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/05/2026

CVE-2026-7454

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A maliciously crafted WRL file, when parsed through Autodesk 3ds Max, can force a Memory Corruption vulnerability. A malicious actor can leverage this vulnerability to execute arbitrary code in the context of the current process.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/05/2026

CVE-2026-8633

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Web Server Plug-ins for WebSphere Application Server and WebSphere Liberty 8.5, 9.0 IBM WebSphere Application Server and WebSphere Application Server Liberty are vulnerable to remote code execution in the Web Server Plug-ins, through a specially crafted request.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2026

CVE-2026-8620

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** IBM Web Server Plug-ins for WebSphere Application Server and WebSphere Liberty 8.5, 9.0 IBM WebSphere Application Server and WebSphere Application Server Liberty are vulnerable to HTTP request smuggling in the Web Server Plug-ins through a specially crafted request.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/06/2026

CVE-2026-7453

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A maliciously crafted WRL file, when parsed through Autodesk 3ds Max, can cause a Stack Exhaustion vulnerability, leading to a denial-of-service condition.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2026

CVE-2026-7452

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A maliciously crafted WRL file, when parsed through Autodesk 3ds Max, can force a Memory Corruption vulnerability. A malicious actor can leverage this vulnerability to execute arbitrary code in the context of the current process.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/05/2026

CVE-2026-7451

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A maliciously crafted TIF file, when parsed through Autodesk 3ds Max, can force an Out-of-Bounds Write vulnerability. A malicious actor may leverage this vulnerability to cause a crash, cause data corruption, or execute arbitrary code in the context of the current process.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/05/2026

CVE-2026-7450

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A maliciously crafted PAR file, when parsed through Autodesk 3ds Max, can force a NULL Pointer Dereference vulnerability. Successful exploitation may cause the application to crash, leading to a denial-of-service condition.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2026

CVE-2026-7251

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Eppendorf BioFlo 320 is vulnerable due to VNC server using a hard-coded password. If a remote attacker knows the network address of any BioFlo 320 model with remote access enabled, they can gain full control of the user interface by using this password. Once connected, the attacker would have full access to all control panel features for the BioFlo 320. VNC traffic is not encrypted.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
04/06/2026

CVE-2026-48696

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** FastNetMon Community Edition through 1.2.9 has a buffer overflow, a different vulnerability than CVE-2026-48686 and CVE-2026-48689.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2026

CVE-2026-47202

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Kavita is a cross platform reading server. Prior to 0.9.0.2, an Improper Token validation flaw permits a remote and unauthenticated threat actor to request a JWT for any user including admins given knowledge of their username. This vulnerability is fixed in 0.9.0.2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
26/05/2026