Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Jenkins iceScrum (CVE-2024-28160)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins iceScrum 1.1.6 y versiones anteriores no sanitiza las URL del proyecto iceScrum en las vistas de compilación, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes capaces de configurar trabajos.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en Jenkins Delphix Plugin (CVE-2024-28161)
Fecha de publicación:
06/03/2024
Idioma:
Español
En Jenkins Delphix Plugin 3.0.1, una opción global para que los administradores habiliten o deshabiliten la validación de certificados SSL/TLS para conexiones de Data Control Tower (DCT) está deshabilitada de forma predeterminada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Jenkins Delphix Plugin (CVE-2024-28162)
Fecha de publicación:
06/03/2024
Idioma:
Español
En Jenkins Delphix Plugin 3.0.1 a 3.1.0 (ambos inclusive), una opción global para que los administradores habiliten o deshabiliten la validación de certificados SSL/TLS para conexiones de la Torre de control de datos (DCT) no surte efecto hasta que se reinicia al cambiar de validación deshabilitada a validación habilitada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Jenkins GitBucket Plugin (CVE-2024-28157)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins GitBucket Plugin 0.8 y versiones anteriores no desinfectan las URL de Gitbucket en las vistas de compilación, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes capaces de configurar trabajos.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/08/2024

Vulnerabilidad en Jenkins Bitbucket Branch Source (CVE-2024-28152)
Fecha de publicación:
06/03/2024
Idioma:
Español
En el complemento Jenkins Bitbucket Branch Source 866.vdea_7dcd3008e y versiones anteriores, excepto 848.850.v6a_a_2a_234a_c81, al descubrir solicitudes de extracción de bifurcaciones, la política de confianza "Bifurcaciones en la misma cuenta" permite cambios en los archivos Jenkins de usuarios sin acceso de escritura al proyecto cuando se usa Bitbucket Server. .
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2024

Vulnerabilidad en Jenkins OWASP (CVE-2024-28153)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins OWASP Dependency-Check 5.4.5 y versiones anteriores no escapa a los metadatos de vulnerabilidad de los informes Dependency-Check, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en Jenkins MQ Notifier Plugin (CVE-2024-28154)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins MQ Notifier Plugin 1.4.0 y versiones anteriores registran parámetros de compilación potencialmente confidenciales como parte de la información de depuración en los registros de compilación de forma predeterminada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2025

Vulnerabilidad en Jenkins Build Monitor View (CVE-2024-28156)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins Build Monitor View 1.14-860.vd06ef2568b_3f y versiones anteriores no escapa a los nombres de las vistas de Build Monitor, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes capaces de configurar vistas de Build Monitor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2025

Vulnerabilidad en Jenkins AppSpider (CVE-2024-28155)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins AppSpider 1.0.16 y versiones anteriores no realiza comprobaciones de permisos en varios endpoints HTTP, lo que permite a los atacantes con permiso general/lectura obtener información sobre los nombres de configuraciones de escaneo disponibles, nombres de grupos de motores y nombres de clientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/03/2025

Vulnerabilidad en Jenkins HTML Publisher (CVE-2024-28149)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins HTML Publisher 1.16 a 1.32 (ambos inclusive) no sanitizada adecuadamente la entrada, lo que permite a los atacantes con permiso Elemento/Configurar implementar ataques de Cross-Site Scripting (XSS) y determinar si existe una ruta en el sistema de archivos del controlador Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2024-28150)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins HTML Publisher Plugin 1.32 y versiones anteriores no escapan a los nombres de trabajos, nombres de informes y títulos de páginas de índice que se muestran como parte del frame del informe, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes con permiso Item/Configure.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2024-28151)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins HTML Publisher Plugin 1.32 y versiones anteriores archiva enlaces simbólicos no válidos en directorios de informes de agentes y los recrea en el controlador, lo que permite a los atacantes con permiso Item/Configure determinar si existe una ruta en el sistema de archivos del controlador Jenkins, sin poder acceder a ella.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025
Suscribirse a Vulnerabilidades