Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2024-28150)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins HTML Publisher Plugin 1.32 y versiones anteriores no escapan a los nombres de trabajos, nombres de informes y títulos de páginas de índice que se muestran como parte del frame del informe, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes con permiso Item/Configure.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2024-28151)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins HTML Publisher Plugin 1.32 y versiones anteriores archiva enlaces simbólicos no válidos en directorios de informes de agentes y los recrea en el controlador, lo que permite a los atacantes con permiso Item/Configure determinar si existe una ruta en el sistema de archivos del controlador Jenkins, sin poder acceder a ella.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Jenkins Bitbucket Branch Source (CVE-2024-28152)
Fecha de publicación:
06/03/2024
Idioma:
Español
En el complemento Jenkins Bitbucket Branch Source 866.vdea_7dcd3008e y versiones anteriores, excepto 848.850.v6a_a_2a_234a_c81, al descubrir solicitudes de extracción de bifurcaciones, la política de confianza "Bifurcaciones en la misma cuenta" permite cambios en los archivos Jenkins de usuarios sin acceso de escritura al proyecto cuando se usa Bitbucket Server. .
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2025

Vulnerabilidad en Jenkins OWASP (CVE-2024-28153)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins OWASP Dependency-Check 5.4.5 y versiones anteriores no escapa a los metadatos de vulnerabilidad de los informes Dependency-Check, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en Jenkins MQ Notifier Plugin (CVE-2024-28154)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins MQ Notifier Plugin 1.4.0 y versiones anteriores registran parámetros de compilación potencialmente confidenciales como parte de la información de depuración en los registros de compilación de forma predeterminada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2025

Vulnerabilidad en Jenkins AppSpider (CVE-2024-28155)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins AppSpider 1.0.16 y versiones anteriores no realiza comprobaciones de permisos en varios endpoints HTTP, lo que permite a los atacantes con permiso general/lectura obtener información sobre los nombres de configuraciones de escaneo disponibles, nombres de grupos de motores y nombres de clientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/03/2025

Vulnerabilidad en Jenkins Build Monitor View (CVE-2024-28156)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins Build Monitor View 1.14-860.vd06ef2568b_3f y versiones anteriores no escapa a los nombres de las vistas de Build Monitor, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes capaces de configurar vistas de Build Monitor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2025

Vulnerabilidad en Jenkins GitBucket Plugin (CVE-2024-28157)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins GitBucket Plugin 0.8 y versiones anteriores no desinfectan las URL de Gitbucket en las vistas de compilación, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes capaces de configurar trabajos.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2025

Vulnerabilidad en Jenkins Subversion Partial Release Manager (CVE-2024-28158)
Fecha de publicación:
06/03/2024
Idioma:
Español
Vulnerabilidad de cross-site request forgery (CSRF) en el complemento Jenkins Subversion Partial Release Manager 1.0.1 y versiones anteriores permite a los atacantes activar una compilación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/06/2025

Vulnerabilidad en Jenkins Subversion Partial Release Manager (CVE-2024-28159)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una verificación de permiso faltante en el complemento Jenkins Subversion Partial Release Manager 1.0.1 y versiones anteriores permite a atacantes con permiso de elemento/lectura activar una compilación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/06/2025

Vulnerabilidad en Cisco Small Business (CVE-2024-20335)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de los AP inalámbricos Cisco Small Business series 100, 300 y 500 podría permitir que un atacante remoto autenticado realice ataques de inyección de comandos contra un dispositivo afectado. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas para el dispositivo. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a la interfaz de administración basada en web de un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en Cisco Secure Client (CVE-2024-20337)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en el proceso de autenticación SAML de Cisco Secure Client podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de inyección de avance de línea de retorno de carro (CRLF) contra un usuario. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace manipulado mientras establece una sesión VPN. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el navegador o acceder a información confidencial basada en el navegador, incluido un token SAML válido. Luego, el atacante podría usar el token para establecer una sesión VPN de acceso remoto con los privilegios del usuario afectado. Los hosts y servicios individuales detrás de la cabecera VPN aún necesitarían credenciales adicionales para un acceso exitoso.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/07/2025
Suscribirse a Vulnerabilidades