Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin Jenkins Repository Connector (CVE-2019-1003038)
Fecha de publicación:
08/03/2019
Idioma:
Español
Una vulnerabilidad de credenciales protegidas de manera insuficiente en el plugin de Jenkins Repository Connector, en versiones 1.2.4 y anteriores, en src/main/java/org/jvnet/hudson/plugins/repositoryconnector/ArtifactDeployer.java, src/main/java/org/jvnet/hudson/plugins/repositoryconnector/Repository.java y src/main/java/org/jvnet/hudson/plugins/repositoryconnector/UserPwd.java que permite a un atacante con acceso al sistema de archivos local o con control de un navegador del administrador de Jenkins (p.ej. una extensión maliciosa) recuperar la contraseña almacenada en la configuración del plugin.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en el plugin de Jenkins Azure VM Agents (CVE-2019-1003037)
Fecha de publicación:
08/03/2019
Idioma:
Español
Existe una vulnerabilidad de exposición de información en el plugin de Jenkins Azure VM Agents, en versiones 0.8.0 y anteriores, en src/main/java/com/microsoft/azure/vmagent/AzureVMCloud.java que permite a los atacantes con permisos "Overall/Read" enumerar los ID de credenciales de credenciales almacenadas en Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en el plugin Jenkins Azure VM Agents (CVE-2019-1003036)
Fecha de publicación:
08/03/2019
Idioma:
Español
Una vulnerabilidad de modificación de datos en el plugin de Jenkins Azure VM Agents, en versiones 0.8.0 y anteriores, en src/main/java/com/microsoft/azure/vmagent/AzureVMAgent.java que permite a los atacantes con permisos de "Overall/Read" adjuntar una red IP pública a un agente de Azure VM.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en el plugin Jenkins Azure VM Agents (CVE-2019-1003035)
Fecha de publicación:
08/03/2019
Idioma:
Español
Existe una vulnerabilidad de exposición de información en el plugin Jenkins Azure VM Agents, en versiones 0.8.0 y anteriores, en src/main/java/com/microsoft/azure/vmagent/AzureVMAgentTemplate.java y src/main/java/com/microsoft/azure/vmagent/AzureVMCloud.java que permite a los atacantes con permisos de "Overall/Read" realizar la acción de validación de formularios "verify configuration", obteniendo así información limitada sobre la configuración Azure.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en el plugin Jenkins Job DSL (CVE-2019-1003034)
Fecha de publicación:
08/03/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en el plugin Jenkins Job DSL, en versiones 1.71 y anteriores, en job-dsl-core/src/main/groovy/javaposse/jobdsl/dsl/AbstractDslScriptLoader.groovy, job-dsl-plugin/build.gradle, job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/JobDslWhitelist.groovy y job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/SandboxDslScriptLoader.groovy que permite a los atacantes con control sobre las definiciones DSL "Job" ejecutar código arbitrario en el maestro JVM de Jenkins.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2023

Vulnerabilidad en el plugin Jenkins Groovy (CVE-2019-1003033)
Fecha de publicación:
08/03/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en el plugin Jenkins Groovy, en su versión 2.1 y anteriores, en pom.xml, src/main/java/hudson/plugins/groovy/StringScriptSource.java que permite a los atacantes con permisos de "Overall/Read" ejecutar código arbitrario en el maestro JVM de Jenkins.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2023

Vulnerabilidad en el plugin Jenkins Email Extension (CVE-2019-1003032)
Fecha de publicación:
08/03/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en el plugin Jenkins Email Extension, en su versión 2.64 y anteriores, en pom.xml, src/main/java/hudson/plugins/emailext/ExtendedEmailPublisher.java, src/main/java/hudson/plugins/emailext/plugins/content/EmailExtScript.java, src/main/java/hudson/plugins/emailext/plugins/content/ScriptContent.java y src/main/java/hudson/plugins/emailext/plugins/trigger/AbstractScriptTrigger.jav que permite a los atacantes con permisos de "Job/Configure" ejecutar código arbitrario en el maestro JVM de Jenkins.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2023

Vulnerabilidad en el plugin Jenkins Matrix Project (CVE-2019-1003031)
Fecha de publicación:
08/03/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en el plugin Jenkins Matrix Project, en versiones 1.13 y anteriores, en pom.xml, src/main/java/hudson/matrix/FilterScript.java, que permite a los atacantes con permisos de "Job/Configure" ejecutar código arbitrario en el maestro JVM de Jenkins.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2023

Vulnerabilidad en Python (CVE-2019-9636)
Fecha de publicación:
08/03/2019
Idioma:
Español
Python, en las versiones 2.7.x hasta la 2.7.16 y en las 3.x hasta la 3.7.2, se ve afectado por lo siguiente: Gestión incorrecta de codificación Unicode (con un netloc incorrecto) durante la normalización NFKC. Su impacto provoca: la divulgación de información (credenciales, cookies, etc, que estén cacheados contra un determinado nombre de host). Los componentes son los siguientes: urllib.parse.urlsplit y urllib.parse.urlparse. El vector de ataque es el siguiente: una URL especialmente manipulada puede analizarse sintácticamente de manera incorrecta para localizar cookies o datos de autenticación y enviar dicha información a un host distinto con respecto a cuando se analiza de manera correcta. Esta corregido en las versiones: v2.7.17, v2.7.17rc1, v2.7.18, v2.7.18rc1; v3.5.10, v3.5.10rc1, v3.5.7, v3.5.8, v3.5.8rc1, v3.5.8rc2, v3.5.9; v3.6.10, v3.6.10rc1, v3.6.11, v3.6.11rc1, v3.6.12, v3.6.9, v3.6.9rc1; v3.7.3, v3.7.3rc1, v3.7.4, v3.7.4rc1, v3.7.4rc2, v3.7.5, v3.7.5rc1, v3.7.6, v3.7.6rc1, v3.7.7, v3.7.7rc1, v3.7.8, v3.7.8rc1, v3.7.9
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Apache Solr (CVE-2017-3164)
Fecha de publicación:
08/03/2019
Idioma:
Español
Hay Server-Side Request Forgery (SSRF) en Apache Solr en versiones desde la 1.3 hasta la 7.6 (inclusivas). Como el parámetro "shards" no tiene un mecanismo de introducción en lista blanca correspondiente, un atacante remoto con acceso al servidor podría hacer que Solr realizara una petición HTTP GET hacia cualquier URL alcanzable.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la tubería de Jenkins (CVE-2019-1003030)
Fecha de publicación:
08/03/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en Jenkins Pipeline: Groovy Plugin, en versiones 2.63 y anteriores en pom.xml, src/main/java/org/jenkinsci/plugins/workflow/cps/CpsGroovyShell.java, permite a los atacantes capacitados para controlar los scripts de tuberías ejecutar código arbitrario en el maestro JVM de Jenkins.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/02/2025

Vulnerabilidad en el plugin de Jenkins (CVE-2019-1003029)
Fecha de publicación:
08/03/2019
Idioma:
Español
Existe una vulnerabilidad de omisión de sandbox en Jenkins Script Security Plugin, en la versión 1.53 y anteriores en src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, que permite a los atacantes con permisos de "Overall/Read" ejecutar código arbitrario en el maestro JVM de Jenkins.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/02/2025
Suscribirse a Vulnerabilidades