Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Jenkins AppSpider (CVE-2024-28155)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins AppSpider 1.0.16 y versiones anteriores no realiza comprobaciones de permisos en varios endpoints HTTP, lo que permite a los atacantes con permiso general/lectura obtener información sobre los nombres de configuraciones de escaneo disponibles, nombres de grupos de motores y nombres de clientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/03/2025

Vulnerabilidad en Jenkins Build Monitor View (CVE-2024-28156)
Fecha de publicación:
06/03/2024
Idioma:
Español
El complemento Jenkins Build Monitor View 1.14-860.vd06ef2568b_3f y versiones anteriores no escapa a los nombres de las vistas de Build Monitor, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes capaces de configurar vistas de Build Monitor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2025

Vulnerabilidad en Jenkins GitBucket Plugin (CVE-2024-28157)
Fecha de publicación:
06/03/2024
Idioma:
Español
Jenkins GitBucket Plugin 0.8 y versiones anteriores no desinfectan las URL de Gitbucket en las vistas de compilación, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes capaces de configurar trabajos.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2025

Vulnerabilidad en Jenkins Subversion Partial Release Manager (CVE-2024-28158)
Fecha de publicación:
06/03/2024
Idioma:
Español
Vulnerabilidad de cross-site request forgery (CSRF) en el complemento Jenkins Subversion Partial Release Manager 1.0.1 y versiones anteriores permite a los atacantes activar una compilación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/06/2025

Vulnerabilidad en Jenkins Subversion Partial Release Manager (CVE-2024-28159)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una verificación de permiso faltante en el complemento Jenkins Subversion Partial Release Manager 1.0.1 y versiones anteriores permite a atacantes con permiso de elemento/lectura activar una compilación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/06/2025

Vulnerabilidad en Cisco Small Business (CVE-2024-20335)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de los AP inalámbricos Cisco Small Business series 100, 300 y 500 podría permitir que un atacante remoto autenticado realice ataques de inyección de comandos contra un dispositivo afectado. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas para el dispositivo. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a la interfaz de administración basada en web de un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en Cisco Secure Client (CVE-2024-20337)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en el proceso de autenticación SAML de Cisco Secure Client podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de inyección de avance de línea de retorno de carro (CRLF) contra un usuario. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace manipulado mientras establece una sesión VPN. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el navegador o acceder a información confidencial basada en el navegador, incluido un token SAML válido. Luego, el atacante podría usar el token para establecer una sesión VPN de acceso remoto con los privilegios del usuario afectado. Los hosts y servicios individuales detrás de la cabecera VPN aún necesitarían credenciales adicionales para un acceso exitoso.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/07/2025

Vulnerabilidad en Cisco Secure Client (CVE-2024-20338)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en el módulo ISE Posture (System Scan) de Cisco Secure Client para Linux podría permitir que un atacante local autenticado eleve los privilegios en un dispositivo afectado. Esta vulnerabilidad se debe al uso de un elemento de ruta de búsqueda no controlado. Un atacante podría aprovechar esta vulnerabilidad copiando un archivo de librería malicioso en un directorio específico del sistema de archivos y persuadiendo a un administrador para que reinicie un proceso específico. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios de root.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/07/2025

Vulnerabilidad en Cisco AppDynamics Controller (CVE-2024-20345)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en la funcionalidad de carga de archivos de Cisco AppDynamics Controller podría permitir que un atacante remoto autenticado realice ataques de directory traversal en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud manipulada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante acceder a datos confidenciales en un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/09/2025

Vulnerabilidad en Cisco Small Business (CVE-2024-20336)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de usuario basada en web de los AP inalámbricos Cisco Small Business series 100, 300 y 500 podría permitir que un atacante remoto autenticado realice ataques de desbordamiento de búfer contra un dispositivo afectado. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas para el dispositivo. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a la interfaz de administración basada en web de un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en Cisco Duo Authentication (CVE-2024-20292)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en el componente de registro de Cisco Duo Authentication para Windows Logon y RDP podría permitir que un atacante local autenticado vea información confidencial en texto sin cifrar en un sistema afectado. Esta vulnerabilidad se debe al almacenamiento inadecuado de una clave de registro no cifrada en ciertos registros. Un atacante podría aprovechar esta vulnerabilidad accediendo a los registros de un sistema afectado. Un exploit exitoso podría permitir al atacante ver información confidencial en texto sin cifrar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2025

Vulnerabilidad en Cisco Duo (CVE-2024-20301)
Fecha de publicación:
06/03/2024
Idioma:
Español
Una vulnerabilidad en la autenticación de Cisco Duo para el inicio de sesión de Windows y RDP podría permitir que un atacante físico autenticado omita la autenticación secundaria y acceda a un dispositivo Windows afectado. Esta vulnerabilidad se debe a una falla al invalidar las sesiones confiables creadas localmente después de reiniciar el dispositivo afectado. Un atacante con credenciales de usuario principal podría aprovechar esta vulnerabilidad al intentar autenticarse en un dispositivo afectado. Un exploit exitoso podría permitir al atacante acceder al dispositivo afectado sin permisos válidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2025
Suscribirse a Vulnerabilidades