Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Jenkins Folder-based Authorization Strategy (CVE-2025-24401)
Fecha de publicación:
22/01/2025
Idioma:
Español
El complemento Jenkins Folder-based Authorization Strategy 217.vd5b_18537403e y versiones anteriores no verifica que los permisos configurados para otorgarse estén habilitados, lo que potencialmente permite que los usuarios a los que se les otorgaron anteriormente (normalmente permisos opcionales, como General/Administrar) accedan a funciones a las que ya no tienen derecho.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Jenkins Azure Service Fabric (CVE-2025-24402)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una vulnerabilidad Cross-Site Request Forgery (CSRF) en el complemento Jenkins Azure Service Fabric 1.6 y versiones anteriores permite a los atacantes conectarse a una URL de Service Fabric utilizando identificadores de credenciales especificados por el atacante obtenidos a través de otro método.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Jenkins Azure Service Fabric (CVE-2025-24403)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una verificación de permiso faltante en el complemento Jenkins Azure Service Fabric 1.6 y versiones anteriores permite a los atacantes con permiso general/de lectura enumerar los identificadores de credenciales de Azure almacenadas en Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Cisco BroadWorks (CVE-2025-20165)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una vulnerabilidad en el subsistema de procesamiento SIP de Cisco BroadWorks podría permitir que un atacante remoto no autenticado detenga el procesamiento de solicitudes SIP entrantes, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a una gestión inadecuada de la memoria para ciertas solicitudes SIP. Un atacante podría aprovechar esta vulnerabilidad enviando una gran cantidad de solicitudes SIP a un sistema afectado. Una explotación exitosa podría permitir que el atacante agote la memoria asignada a los servidores de red Cisco BroadWorks que manejan el tráfico SIP. Si no hay memoria disponible, los servidores de red ya no pueden procesar solicitudes entrantes, lo que da como resultado una condición de DoS que requiere intervención manual para recuperarse.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/08/2025

Vulnerabilidad en Cilium (CVE-2025-23028)
Fecha de publicación:
22/01/2025
Idioma:
Español
Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Una vulnerabilidad de denegación de servicio afecta a las versiones 1.14.0 a 1.14.7, 1.15.0 a 1.15.11 y 1.16.0 a 1.16.4. En un clúster de Kubernetes donde Cilium está configurado para actuar como proxy del tráfico DNS, un atacante puede bloquear los agentes de Cilium enviando una respuesta DNS manipulado a las cargas de trabajo desde fuera del clúster. Para el tráfico permitido pero sin utilizar una política basada en DNS, el plano de datos seguirá pasando el tráfico tal como se configuró en el momento del ataque de denegación de servicio. Para las cargas de trabajo que tienen configurada una política basada en DNS, las conexiones existentes pueden seguir funcionando y las nuevas conexiones realizadas sin depender de la resolución DNS pueden seguir estableciéndose, pero las nuevas conexiones que dependen de la resolución DNS pueden verse interrumpidas. Es posible que los cambios de configuración que afecten al agente afectado no se apliquen hasta que el agente pueda reiniciarse. Este problema se solucionó en Cilium v1.14.18, v1.15.12 y v1.16.5. No hay workarounds disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/09/2025

Vulnerabilidad en GitLab de Jenkins (CVE-2025-24397)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una verificación de permisos incorrecta en el complemento GitLab de Jenkins 1.9.6 y versiones anteriores permite a los atacantes con permiso global de Elemento/Configuración (aunque carecen del permiso de Elemento/Configuración en cualquier trabajo en particular) enumerar los ID de credenciales del token de API de GitLab y las credenciales de texto secreto almacenadas en Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Jenkins Bitbucket Server Integration (CVE-2025-24398)
Fecha de publicación:
22/01/2025
Idioma:
Español
El complemento Jenkins Bitbucket Server Integration 2.1.0 a 4.1.3 (ambos incluidos) permite a los atacantes **ENMASCARAR15** URL que eludirían la protección CSRF de cualquier URL de destino en Jenkins.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/06/2025

Vulnerabilidad en Jenkins OpenId Connect (CVE-2025-24399)
Fecha de publicación:
22/01/2025
Idioma:
Español
El complemento de autenticación de Jenkins OpenId Connect 4.452.v2849b_d3945fa_ y anteriores, excepto 4.438.440.v3f5f201de5dc, trata los nombres de usuario como si no distinguieran entre mayúsculas y minúsculas, lo que permite a los atacantes en instancias de Jenkins configuradas con un proveedor de OpenID Connect que distinga entre mayúsculas y minúsculas iniciar sesión como cualquier usuario al proporcionar un nombre de usuario que difiere solo en mayúsculas y minúsculas, lo que potencialmente les permite obtener acceso de administrador a Jenkins.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en Jenkins Eiffel Broadcaster (CVE-2025-24400)
Fecha de publicación:
22/01/2025
Idioma:
Español
El complemento Jenkins Eiffel Broadcaster 2.8.0 a 2.10.2 (ambos incluidos) utiliza el ID de credencial como clave de caché durante las operaciones de firma, lo que permite a los atacantes crear una credencial con el mismo ID que una legítima en un almacén de credenciales diferente para firmar un evento publicado en RabbitMQ con las credenciales legítimas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en IBM Robotic Process Automation for Cloud Pak (CVE-2024-51457)
Fecha de publicación:
22/01/2025
Idioma:
Español
IBM Robotic Process Automation for Cloud Pak 21.0.0 a 21.0.7.19 y 23.0.0 a 23.0.19 es vulnerable a ataques de cross-site scripting. Esta vulnerabilidad permite que un usuario autenticado incorpore código JavaScript arbitrario en la interfaz de usuario web, lo que altera la funcionalidad prevista y puede provocar la divulgación de credenciales dentro de una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/08/2025

Vulnerabilidad en Cisco Meeting Management (CVE-2025-20156)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una vulnerabilidad en la API REST de Cisco Meeting Management podría permitir que un atacante remoto autenticado con privilegios bajos eleve los permisos a administrador en un dispositivo afectado. Esta vulnerabilidad existe porque no se aplica la autorización adecuada a los usuarios de la API REST. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes de API a un endpoint específico. Una explotación exitosa podría permitir al atacante obtener control a nivel de administrador sobre los nodos perimetrales administrados por Cisco Meeting Management.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/08/2025

Vulnerabilidad en ClamAV (CVE-2025-20128)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una vulnerabilidad en la rutina de descifrado Object Linking and Embedding 2 (OLE2) de ClamAV podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a un desbordamiento de enteros en una comprobación de los límites que permite una lectura de desbordamiento de búfer de montón. Un atacante podría aprovechar esta vulnerabilidad enviando un archivo manipulado con contenido OLE2 para que ClamAV lo escanee en un dispositivo afectado. Una explotación exitosa podría permitir al atacante terminar el proceso de escaneo de ClamAV, lo que provocaría una condición de denegación de servicio (DoS) en el software afectado. Para obtener una descripción de esta vulnerabilidad, consulte el . Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades