Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Jenkins Delphix Plugin (CVE-2024-28162)
Fecha de publicación:
06/03/2024
Idioma:
Español
En Jenkins Delphix Plugin 3.0.1 a 3.1.0 (ambos inclusive), una opción global para que los administradores habiliten o deshabiliten la validación de certificados SSL/TLS para conexiones de la Torre de control de datos (DCT) no surte efecto hasta que se reinicia al cambiar de validación deshabilitada a validación habilitada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en JetBrains TeamCity (CVE-2024-28173)
Fecha de publicación:
06/03/2024
Idioma:
Español
En JetBrains TeamCity entre 2023.11 y 2023.11.4 se podrían revelar parámetros de compilación personalizados del tipo "contraseña"
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2024

Vulnerabilidad en JetBrains TeamCity (CVE-2024-28174)
Fecha de publicación:
06/03/2024
Idioma:
Español
En JetBrains TeamCity antes de 2023.11.4, las solicitudes de generación de URL prefirmadas en el complemento S3 Artifact Storage no se autorizaban correctamente
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2024

Vulnerabilidad en Jenkins (CVE-2024-2215)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en el complemento Docker-build-step de Jenkins 2.11 y versiones anteriores permite a los atacantes conectarse a una URL de socket TCP o Unix especificada por el atacante y reconfigurar el complemento utilizando los parámetros de prueba de conexión proporcionados, afectando las futuras ejecuciones de pasos de construcción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2025

Vulnerabilidad en Jenkins (CVE-2024-2216)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una verificación de permiso faltante en un punto final HTTP en el complemento Docker-build-step de Jenkins 2.11 y versiones anteriores permite a los atacantes con permiso general/lectura conectarse a una URL de socket TCP o Unix especificada por el atacante y reconfigurar el complemento utilizando los parámetros de prueba de conexión proporcionados, lo que afecta las ejecuciones futuras de pasos de compilación.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2025

Vulnerabilidad en Cisco AppDynamics Controller (CVE-2024-20346)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco AppDynamics Controller podría permitir que un atacante remoto autenticado realice un ataque de Cross-Site Scripting (XSS) reflejado contra un usuario de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace malicioso. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/07/2025

Vulnerabilidad en Jenkins HTML Publisher (CVE-2024-28149)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins HTML Publisher 1.16 a 1.32 (ambos inclusive) no sanitizada adecuadamente la entrada, lo que permite a los atacantes con permiso Elemento/Configurar implementar ataques de Cross-Site Scripting (XSS) y determinar si existe una ruta en el sistema de archivos del controlador Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2024-28150)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins HTML Publisher Plugin 1.32 y versiones anteriores no escapan a los nombres de trabajos, nombres de informes y títulos de páginas de índice que se muestran como parte del frame del informe, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes con permiso Item/Configure.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2024-28151)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins HTML Publisher Plugin 1.32 y versiones anteriores archiva enlaces simbólicos no válidos en directorios de informes de agentes y los recrea en el controlador, lo que permite a los atacantes con permiso Item/Configure determinar si existe una ruta en el sistema de archivos del controlador Jenkins, sin poder acceder a ella.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Jenkins Bitbucket Branch Source (CVE-2024-28152)
Fecha de publicación:
06/03/2024
Idioma:
Español
En el complemento Jenkins Bitbucket Branch Source 866.vdea_7dcd3008e y versiones anteriores, excepto 848.850.v6a_a_2a_234a_c81, al descubrir solicitudes de extracción de bifurcaciones, la política de confianza "Bifurcaciones en la misma cuenta" permite cambios en los archivos Jenkins de usuarios sin acceso de escritura al proyecto cuando se usa Bitbucket Server. .
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2025

Vulnerabilidad en Jenkins OWASP (CVE-2024-28153)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins OWASP Dependency-Check 5.4.5 y versiones anteriores no escapa a los metadatos de vulnerabilidad de los informes Dependency-Check, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en Jenkins MQ Notifier Plugin (CVE-2024-28154)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins MQ Notifier Plugin 1.4.0 y versiones anteriores registran parámetros de compilación potencialmente confidenciales como parte de la información de depuración en los registros de compilación de forma predeterminada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2025
Suscribirse a Vulnerabilidades