Múltiples vulnerabilidades en Tanzu Greenplum de VMware
Versiones anteriores a VMware Tanzu Greenplum 6.31.1 y 7.6.1.
Broadcom ha publicado 2 avisos de seguridad con varias vulnerabilidades de entre ellas 4 críticas que, de ser explotadas, podrían permitir que un atacante escriba en el directorio caché, contrabando de solicitudes, provocar un comportamiento inesperado en en la aplicación o una escalada de provilegios.
Actualizar a las versiones VMware Tanzu Greenplum 6.31.1 y 7.6.1.
- CVE-2024-38824: recorrido de directorios en el método recv_file permite que se escriban archivos arbitrarios en el directorio de caché maestro.
- CVE-2025-22871: el paquete net/http acepta incorrectamente un salto de línea (LF) sin formato como terminador de línea en líneas de datos fragmentados. Esto puede permitir el contrabando de solicitudes si se utiliza un servidor net/http junto con un servidor que acepta incorrectamente un salto de línea sin formato como parte de una extensión de fragmento.
- CVE-2022-32221: al realizar transferencias HTTP(S), libcurl podría usar erróneamente la función de devolución de llamada de lectura. Este fallo puede provocar un comportamiento inesperado en la aplicación. El problema reside en la lógica de un identificador reutilizado al cambiar de una solicitud PUT a una POST.
- CVE-2022-32207: cuando curl guarda cookies, datos de alt-svc y hsts en archivos locales, realiza la operación de forma atómica finalizándola con un cambio de nombre de un nombre temporal al nombre final del archivo de destino. En esa operación de cambio de nombre, podría ampliar accidentalmente los permisos del archivo de destino, dejando el archivo actualizado accesible a más usuarios de los previstos.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.