Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en en Jenkins Bitbucket Branch Source Plugin (CVE-2022-20619)
Fecha de publicación:
12/01/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Bitbucket Branch Source Plugin 737.vdf9dc06105be y anteriores permite a atacantes conectarse a una URL especificada por el atacante usando IDs de credenciales especificados por el atacante obtenidos a través de otro método, capturando credenciales almacenadas en Jenkins
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2023

Vulnerabilidad en el nombre de un archivo cuando es configurado el ID personalizado en el plugin Jenkins Warnings Next Generation (CVE-2022-23107)
Fecha de publicación:
12/01/2022
Idioma:
Español
El plugin Jenkins Warnings Next Generation versiones 9.10.2 y anteriores, no restringe el nombre de un archivo cuando es configurado el ID personalizado, permitiendo a atacantes con permiso Item/Configure escribir y leer archivos específicos con un sufijo embebido en el sistema de archivos del controlador Jenkins
Gravedad CVSS v3.1: ALTA
Última modificación:
15/11/2023

Vulnerabilidad en el plugin de agente SSH de Jenkins (CVE-2022-20620)
Fecha de publicación:
12/01/2022
Idioma:
Español
Una falta de comprobaciones de permisos en el plugin de agente SSH de Jenkins versiones 1.23 y anteriores, permite a atacantes con acceso general/libre enumerar los ID de las credenciales almacenadas en Jenkins
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2023

Vulnerabilidad en el plugin Jenkins Debian Package Builder (CVE-2022-23118)
Fecha de publicación:
12/01/2022
Idioma:
Español
El plugin Jenkins Debian Package Builder versiones 1.6.11 y anteriores, implementan una funcionalidad que permite a agentes invocar la línea de comandos "git" en una ruta especificada por el atacante en el controlador, permitiendo a atacantes capaces de controlar los procesos del agente invocar comandos arbitrarios del Sistema Operativo en el controlador
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2023

Vulnerabilidad en el nombre de una imagen o una etiqueta en Jenkins Docker Commons Plugin (CVE-2022-20617)
Fecha de publicación:
12/01/2022
Idioma:
Español
Jenkins Docker Commons Plugin versiones 1.17 y anteriores, no sanea el nombre de una imagen o una etiqueta, resultando en una vulnerabilidad de ejecución de comandos del Sistema Operativo explotable por atacantes con permiso Item/Configure o capaces de controlar el contenido del repositorio SCM de un trabajo previamente configurado
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2023

Vulnerabilidad en la máquina del usuario durante el inicio de sesión en Docker Desktop (CVE-2021-45449)
Fecha de publicación:
12/01/2022
Idioma:
Español
Docker Desktop versiones 4.3.0 y 4.3.1, presenta un bug que puede registrar información confidencial (token de acceso o contraseña) en la máquina del usuario durante el inicio de sesión. Esto sólo afecta a usuarios si están en Docker Desktop versiones 4.3.0, 4.3.1 y el usuario ha iniciado la sesión mientras está en versiones 4.3.0, 4.3.1. Para acceder a estos datos sería necesario tener acceso a los archivos locales del usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/01/2022

Vulnerabilidad en la funcionalidad UpgradeWizard en SuiteCRM (CVE-2021-41597)
Fecha de publicación:
12/01/2022
Idioma:
Español
SuiteCRM versiones hasta 7.11.21, es vulnerable a un ataque de tipo CSRF, con ejecución de código remota resultante, por medio de la funcionalidad UpgradeWizard, si es incluido un archivo PHP en un archivo ZIP
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2022

Vulnerabilidad en la API REST en CALDERA (CVE-2021-42559)
Fecha de publicación:
12/01/2022
Idioma:
Español
Se ha detectado un problema en CALDERA versión 2.8.1. Contiene múltiples "requirements" de inicio que ejecutan comandos cuando es iniciado el servidor. Debido a que estos comandos pueden ser modificados por medio de la API REST, un usuario autenticado puede insertar comandos arbitrarios que serán ejecutados cuando el servidor sea reiniciado
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2022

Vulnerabilidad en CALDERA (CVE-2021-42558)
Fecha de publicación:
12/01/2022
Idioma:
Español
Se ha detectado un problema en CALDERA versión 2.8.1. Contiene múltiples vulnerabilidades de tipo XSS reflejadas, almacenadas y propias que pueden ser explotadas por atacantes autenticados y no autenticados
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/01/2022

Vulnerabilidad en un archivo MESH en la función GmfOpenMesh() de libMeshb (CVE-2021-46225)
Fecha de publicación:
12/01/2022
Idioma:
Español
Un desbordamiento de búfer en la función GmfOpenMesh() de libMeshb versión v7.61 permite a atacantes causar una denegación de servicio (DoS) por medio de un archivo MESH diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2022

Vulnerabilidad en el Plugin Jenkins Bitbucket Branch Source (CVE-2022-20618)
Fecha de publicación:
12/01/2022
Idioma:
Español
Una falta de comprobación de permisos en el Plugin Jenkins Bitbucket Branch Source versiones 737.vdf9dc06105be y anteriores, permite a atacantes con acceso general/libre enumerar los ID de las credenciales almacenadas en Jenkins
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2023

Vulnerabilidad en el plugin Jenkins Credentials Binding (CVE-2022-20616)
Fecha de publicación:
12/01/2022
Idioma:
Español
El plugin Jenkins Credentials Binding versiones 1.27 y anteriores, no lleva a cabo una comprobación de permisos en un método que implementa la comprobación de formularios, que permite a atacantes con acceso Overall/Read comprobar si un ID de credencial es referido a una credencial de archivo secreto y si es un archivo zip
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/11/2023
Suscribirse a Vulnerabilidades