Múltiples vulnerabilidades en productos de VMware
- Consola de administración VMware Tanzu GemFire versiones anteriores a 1.4.0.
- VMware Tanzu Greenplum versiones anteriores a 7.5.4.
VMware a publicado dos avisos de seguridad con 42 vulnerabilidades de las cuales 8 son de severidad crítica y de ser explotadas podrían permitir acceso no autorizado, manipulación de solicitudes HTTP, denegación de servicio, escritura arbitraria en el sistema de archivos, generación de colisiones o ejecución remota de código.
Actualizar a las últimas versiones disponibles:
- Consola de administración VMware Tanzu GemFire versión 1.4.0.
- VMware Tanzu Greenplum 7.5.4.
Las vulnerabilidades de severidad critica se resumen a continuación:
- CVE-2024-45337: las aplicaciones y bibliotecas que hacen un uso indebido de connection.serverAuthenticate (mediante el campo de devolución de llamada ServerConfig.PublicKeyCallback) pueden ser susceptibles a una omisión de autorización.
- CVE-2024-41110: vulnerabilidad en ciertas versiones de Docker Engine que podría permitir a un atacante eludir los complementos de autorización (AuthZ) en circunstancias específicas.
- CVE-2025-22871: Un paquete net/http acepta incorrectamente un LF simple como terminador de línea en líneas de datos fragmentados. Esto puede permitir la manipulación de solicitudes.
- CVE-2025-30204: ante una solicitud maliciosa cuyo encabezado de autorización consiste en “Bearer” seguido de muchos puntos, una llamada a dicha función genera asignaciones de O(n) bytes, con un factor constante de aproximadamente 16.
- CVE-2024-7804: falta de verificación de seguridad durante el proceso de deserialización de objetos PythonUDF en pytorch/torch/distributed/rpc/internal.py. Esto permite a un atacante ejecutar código arbitrario remotamente.
- CVE-2023-39631: un problema en LanChain-ai permite que un atacante remoto ejecute código arbitrario a través de la función de evaluación en la biblioteca numexpr.
- CVE-2025-4517: permite escrituras arbitrarias en el sistema de archivos fuera del directorio de extracción durante la extracción con filter=”data”.
- CVE-2025-9288: la vulnerabilidad de validación de entrada incorrecta en sha.js permite la manipulación de datos de entrada.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.