Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-68708

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** SailingLab AppLock (aka com.alpha.applock) 4.3.8 for Android allows a local attacker with physical access to bypass the PIN lock. The lock is implemented as an overlay rather than by using Android's secure authentication APIs. By navigating cascading interface flows - insecure navigation through exposed routes facilitates app control evasion {I.N.T.E.R.F.A.C.E] via advertisement or browser intents - an attacker can evade lockscreen verification and access protected apps (e.g., Chrome). This results in information disclosure and privilege escalation.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/05/2026

CVE-2025-14361

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in AA-Team Woocommerce Envato Affiliates allows Accessing Functionality Not Properly Constrained by ACLs.<br /> <br /> This issue affects Woocommerce Envato Affiliates: from n/a through 1.2.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/05/2026

CVE-2026-8453

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
26/05/2026

CVE-2026-9574

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw has been found in itsourcecode Student Transcript Processing System 1.0. This vulnerability affects unknown code of the file /admin/modules/student/trans.php. Executing a manipulation of the argument studentId/cid can lead to sql injection. The attack can be launched remotely. The exploit has been published and may be used.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/05/2026

CVE-2026-9575

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been found in itsourcecode Student Transcript Processing System 1.0. This issue affects some unknown processing of the file /admin/modules/class/index.php?view=view. The manipulation of the argument ID leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/05/2026

CVE-2026-9573

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was detected in itsourcecode Student Transcript Processing System 1.0. This affects an unknown part of the file /admin/modules/student/index.php?view=view. Performing a manipulation of the argument studentId results in sql injection. The attack can be initiated remotely. The exploit is now public and may be used.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/05/2026

CVE-2026-44833

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Snipe-IT is an IT asset/license management system. Prior to 8.4.1, an open redirect vulnerability in Snipe-IT allows attackers to redirect users to malicious sites via unvalidated HTTP Referer header stored in session variable. This vulnerability is fixed in 8.4.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/05/2026

CVE-2026-44831

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Snipe-IT is an IT asset/license management system. Prior to 8.4.1, users with component view access could be impacted by an unescaped notes column, resulting in cross-site scripting (XSS). This vulnerability is fixed in 8.4.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/05/2026

CVE-2026-44832

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Snipe-IT is an IT asset/license management system. Prior to 8.4.1, aAn authenticated user with only users.edit permission can escalate their own privileges to admin by sending a PATCH request to /api/v1/users/{id} with permissions[admin]=1. The API controller only strips the superuser key from the permissions array, allowing admin and all other permission keys to be set by any user who can update users. This vulnerability is fixed in 8.4.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/07/2026

CVE-2026-44214

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** eventsource-encoder encodes events as well-formed EventSource/Server Sent Event (SSE) messages. Prior to 1.0.2, eventsource-encoder does not sanitize the event or id fields of an EventSourceMessage before serializing them. An attacker who controls either field can inject arbitrary Server-Sent Events line terminators (\n, \r, or \r\n) and thereby forge additional SSE fields or entire messages on the stream. This vulnerability is fixed in 1.0.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2026

CVE-2026-27331

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in Magepeople inc. WpTravelly allows Exploiting Incorrectly Configured Access Control Security Levels.<br /> <br /> This issue affects WpTravelly: from n/a through 2.1.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/05/2026

CVE-2026-24520

Fecha de publicación:
26/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in bPlugins Tiktok Feed allows Exploiting Incorrectly Configured Access Control Security Levels.<br /> <br /> This issue affects Tiktok Feed: from n/a through 1.0.24.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/05/2026