Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Traffic Alert and Collision Avoidance System (TCAS) II (CVE-2024-11166)
Fecha de publicación:
22/01/2025
Idioma:
Español
En el caso de los sistemas TCAS II que utilizan transpondedores compatibles con MOPS anteriores a RTCA DO-181F, un atacante puede hacerse pasar por una estación terrestre y emitir una solicitud de identidad Comm-A. Esta acción puede establecer el control de nivel de sensibilidad (SLC) en el valor más bajo y desactivar el aviso de resolución (RA), lo que genera una condición de denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/01/2025

Vulnerabilidad en Cilium (CVE-2025-23047)
Fecha de publicación:
22/01/2025
Idioma:
Español
Cilium es una solución de seguridad, observabilidad y redes con un plano de datos basado en eBPF. Un valor de encabezado `Access-Control-Allow-Origin` predeterminado inseguro podría provocar la exposición de datos confidenciales para los usuarios de las versiones de Cilium 1.14.0 a 1.14.7, 1.15.0 a 1.15.11 y 1.16.0 a 1.16.4 que implementan Hubble UI mediante la CLI de Cilium o mediante el gráfico Helm de Cilium. Un usuario con acceso a una instancia de Hubble UI afectada por este problema podría filtrar detalles de configuración sobre el clúster de Kubernetes que Hubble UI está monitoreando, nombres de nodos incluida, direcciones IP y otros metadatos sobre cargas de trabajo y la configuración de red del clúster. Para que se aproveche esta vulnerabilidad, la víctima primero tendría que visitar una página maliciosa. Este problema se solucionó en Cilium v1.14.18, v1.15.12 y v1.16.5. Como workaround, los usuarios que implementan Hubble UI usando el gráfico Helm de Cilium directamente pueden eliminar los encabezados CORS de la plantilla Helm como se muestra en el parche de commit a3489f190ba6e87b5336ee685fb6c80b1270d06d.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/09/2025

Vulnerabilidad en Thermo Fisher Scientific Xcalibur y Thermo Foundation Instrument Control Software (CVE-2024-55957)
Fecha de publicación:
22/01/2025
Idioma:
Español
En Thermo Fisher Scientific Xcalibur anterior a 4.7 SP1 y Thermo Foundation Instrument Control Software (ICSW) anterior a 3.1 SP10, los paquetes de controladores tienen una vulnerabilidad de escalada de privilegios locales debido a permisos de control de acceso inadecuados en sistemas Windows.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2025

Vulnerabilidad en Cloudflare WARP (CVE-2025-0651)
Fecha de publicación:
22/01/2025
Idioma:
Español
La vulnerabilidad de administración de privilegios incorrecta en Cloudflare WARP en Windows permite la manipulación de archivos. El usuario con privilegios de sistema bajos puede crear un conjunto de enlaces simbólicos dentro de la carpeta C:\ProgramData\Cloudflare\warp-diag-partials. Después de activar la opción "Restablecer todas las configuraciones", el servicio WARP eliminará los archivos a los que apuntaba el enlace simbólico. Dado que el servicio WARP opera con privilegios de System, esto podría provocar la eliminación de archivos propiedad del usuario de System. Este problema afecta a WARP: antes de 2024.12.492.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/07/2025

Vulnerabilidad en Jenkins Folder-based Authorization Strategy (CVE-2025-24401)
Fecha de publicación:
22/01/2025
Idioma:
Español
El complemento Jenkins Folder-based Authorization Strategy 217.vd5b_18537403e y versiones anteriores no verifica que los permisos configurados para otorgarse estén habilitados, lo que potencialmente permite que los usuarios a los que se les otorgaron anteriormente (normalmente permisos opcionales, como General/Administrar) accedan a funciones a las que ya no tienen derecho.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Jenkins Azure Service Fabric (CVE-2025-24402)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una vulnerabilidad Cross-Site Request Forgery (CSRF) en el complemento Jenkins Azure Service Fabric 1.6 y versiones anteriores permite a los atacantes conectarse a una URL de Service Fabric utilizando identificadores de credenciales especificados por el atacante obtenidos a través de otro método.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Jenkins Azure Service Fabric (CVE-2025-24403)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una verificación de permiso faltante en el complemento Jenkins Azure Service Fabric 1.6 y versiones anteriores permite a los atacantes con permiso general/de lectura enumerar los identificadores de credenciales de Azure almacenadas en Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Cisco BroadWorks (CVE-2025-20165)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una vulnerabilidad en el subsistema de procesamiento SIP de Cisco BroadWorks podría permitir que un atacante remoto no autenticado detenga el procesamiento de solicitudes SIP entrantes, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a una gestión inadecuada de la memoria para ciertas solicitudes SIP. Un atacante podría aprovechar esta vulnerabilidad enviando una gran cantidad de solicitudes SIP a un sistema afectado. Una explotación exitosa podría permitir que el atacante agote la memoria asignada a los servidores de red Cisco BroadWorks que manejan el tráfico SIP. Si no hay memoria disponible, los servidores de red ya no pueden procesar solicitudes entrantes, lo que da como resultado una condición de DoS que requiere intervención manual para recuperarse.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/08/2025

Vulnerabilidad en Cilium (CVE-2025-23028)
Fecha de publicación:
22/01/2025
Idioma:
Español
Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Una vulnerabilidad de denegación de servicio afecta a las versiones 1.14.0 a 1.14.7, 1.15.0 a 1.15.11 y 1.16.0 a 1.16.4. En un clúster de Kubernetes donde Cilium está configurado para actuar como proxy del tráfico DNS, un atacante puede bloquear los agentes de Cilium enviando una respuesta DNS manipulado a las cargas de trabajo desde fuera del clúster. Para el tráfico permitido pero sin utilizar una política basada en DNS, el plano de datos seguirá pasando el tráfico tal como se configuró en el momento del ataque de denegación de servicio. Para las cargas de trabajo que tienen configurada una política basada en DNS, las conexiones existentes pueden seguir funcionando y las nuevas conexiones realizadas sin depender de la resolución DNS pueden seguir estableciéndose, pero las nuevas conexiones que dependen de la resolución DNS pueden verse interrumpidas. Es posible que los cambios de configuración que afecten al agente afectado no se apliquen hasta que el agente pueda reiniciarse. Este problema se solucionó en Cilium v1.14.18, v1.15.12 y v1.16.5. No hay workarounds disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/09/2025

Vulnerabilidad en GitLab de Jenkins (CVE-2025-24397)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una verificación de permisos incorrecta en el complemento GitLab de Jenkins 1.9.6 y versiones anteriores permite a los atacantes con permiso global de Elemento/Configuración (aunque carecen del permiso de Elemento/Configuración en cualquier trabajo en particular) enumerar los ID de credenciales del token de API de GitLab y las credenciales de texto secreto almacenadas en Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Jenkins Bitbucket Server Integration (CVE-2025-24398)
Fecha de publicación:
22/01/2025
Idioma:
Español
El complemento Jenkins Bitbucket Server Integration 2.1.0 a 4.1.3 (ambos incluidos) permite a los atacantes **ENMASCARAR15** URL que eludirían la protección CSRF de cualquier URL de destino en Jenkins.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/06/2025

Vulnerabilidad en Jenkins OpenId Connect (CVE-2025-24399)
Fecha de publicación:
22/01/2025
Idioma:
Español
El complemento de autenticación de Jenkins OpenId Connect 4.452.v2849b_d3945fa_ y anteriores, excepto 4.438.440.v3f5f201de5dc, trata los nombres de usuario como si no distinguieran entre mayúsculas y minúsculas, lo que permite a los atacantes en instancias de Jenkins configuradas con un proveedor de OpenID Connect que distinga entre mayúsculas y minúsculas iniciar sesión como cualquier usuario al proporcionar un nombre de usuario que difiere solo en mayúsculas y minúsculas, lo que potencialmente les permite obtener acceso de administrador a Jenkins.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025
Suscribirse a Vulnerabilidades