Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en VMware Tanzu

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en VMware Tanzu

Aviso
Recursos Afectados

Los productos:

  • VMware Tanzu Data Services;
  • VMware Tanzu Data Services Pack;
  • VMware Tanzu Data Services Solutions;
  • VMware Tanzu Data Suite;
  • VMware Tanzu PostgreSQL;
  • VMware Tanzu SQL.

Para:

  • Postgres 17.5.0;
  • Postgres 17.4.0;
  • Postgres 16.9.0;
  • Postgres 16.8.0;
  • Postgres 15.13.0;
  • Postgres 15.12.0;
  • Postgres 14.18.0;
  • Postgres 14.17.0;
  • Postgres 13.21.0;
  • Postgres 13.20.0;
  • Valkey 8.0.2;
  • Valkey 7.2.9.
Descripción

Broadcom ha publicado 3 notas de seguridad en las cuales informan de la actualización de gran cantidad de vulnerabilidades, entre ellas 4 de severidad crítica que, en caso de ser explotadas, podrían permitir evitar la autorización y ejecutar código en remoto, entre otras acciones.

Identificador
INCIBE-2025-0346

5 – Crítica
Solución

Actualizar a la última versión de los productos afectados.

Detalle

Las vulnerabilidades de severidad crítica afectan a Postgres y son:

  • CVE-2024-24790: los diversos métodos Is (IsPrivate, IsLoopback, etc.) no funcionan como se espera para las direcciones IPv6 asignadas a IPv4, devolviendo falso para direcciones que deberían devolver verdadero en sus formas IPv4 tradicionales.
  • CVE-2024-7804: falta de verificación de seguridad durante el proceso de deserialización de objetos PythonUDF en pytorch/torch/distributed/rpc/internal.py. Esta falla permite a un atacante ejecutar código arbitrario en remoto mediante el envío de un objeto PythonUDF serializado malicioso, lo que provoca la ejecución remota de código (RCE) en el nodo maestro.
  • CVE-2023-47248: la deserialización de datos que no son de confianza en lectores IPC y Parquet en las versiones de PyArrow 0.14.0 a 14.0.0 permite la ejecución de código arbitrario.
  • CVE-2024-45337: las aplicaciones y bibliotecas que hacen un mal uso de la devolución de llamada ServerConfig.PublicKeyCallback pueden ser susceptibles a una omisión de autorización.
Listado de referencias
Broadcom (Id: 35866) – Product Release Advisory – VMware Tanzu for Postgres 17.4.0, 16.8.0, 15.12.0, 14.17.0, 13.20.0
Broadcom (Id: 35867) – Product Release Advisory – VMware Tanzu for Postgres 17.5.0, 16.9.0, 15.13.0, 14.18.0, 13.21.0
Broadcom (Id: 35857) – Product Release Advisory – VMware Tanzu for Valkey 8.0.2, 7.2.9

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.