Alerta de Masiva de Ciberseguridad por Múltiples vulnerabilidades enVMware

  • 04/09/2025
  • 103
Alerta de Masiva de Ciberseguridad por Múltiples vulnerabilidades enVMware

Múltiples vulnerabilidades en productos de VMware

Importancia 5 - Crítica

Recursos Afectados

  • Consola de administración VMware Tanzu GemFire versiones anteriores a 1.4.0.
  • VMware Tanzu Greenplum versiones anteriores a 7.5.4.

Descripción

VMware a publicado dos avisos de seguridad con 42 vulnerabilidades de las cuales 8 son de severidad crítica y de ser explotadas podrían permitir acceso no autorizado, manipulación de solicitudes HTTP, denegación de servicio, escritura arbitraria en el sistema de archivos, generación de colisiones o ejecución remota de código.

Solución

Actualizar a las últimas versiones disponibles:

  • Consola de administración VMware Tanzu GemFire versión 1.4.0.
  • VMware Tanzu Greenplum 7.5.4.

Detalle

Las vulnerabilidades de severidad critica se resumen a continuación:

  • CVE-2024-45337 : las aplicaciones y bibliotecas que hacen un uso indebido de connection.serverAuthenticate (mediante el campo de devolución de llamada ServerConfig.PublicKeyCallback) pueden ser susceptibles a una omisión de autorización.
  • CVE-2024-41110 : vulnerabilidad en ciertas versiones de Docker Engine que podría permitir a un atacante eludir los complementos de autorización (AuthZ) en circunstancias específicas.
  • CVE-2025-22871 : Un paquete net/http acepta incorrectamente un LF simple como terminador de línea en líneas de datos fragmentados. Esto puede permitir la manipulación de solicitudes.
  • CVE-2025-30204 : ante una solicitud maliciosa cuyo encabezado de autorización consiste en "Bearer" seguido de muchos puntos, una llamada a dicha función genera asignaciones de O(n) bytes, con un factor constante de aproximadamente 16.
  • CVE-2024-7804 : falta de verificación de seguridad durante el proceso de deserialización de objetos PythonUDF en pytorch/torch/distributed/rpc/internal.py. Esto permite a un atacante ejecutar código arbitrario remotamente.
  • CVE-2023-39631 : un problema en LanChain-ai permite que un atacante remoto ejecute código arbitrario a través de la función de evaluación en la biblioteca numexpr.
  • CVE-2025-4517 : permite escrituras arbitrarias en el sistema de archivos fuera del directorio de extracción durante la extracción con filter="data".
  • CVE-2025-9288 : la vulnerabilidad de validación de entrada incorrecta en sha.js permite la manipulación de datos de entrada.