Deserialización de datos no confiables en VMware Tanzu
Fecha de publicación 06/05/2026
Identificador
INCIBE-2026-327
Importancia
5 - Crítica
Recursos Afectados
- VMware Tanzu Data Intelligence;
- VMware Tanzu Data Services Pack;
- VMware Tanzu Data Suite;
- VMware Tanzu Gemfire.
Descripción
Broadcom ha publicado un aviso donde informan de 15 vulnerabilidades: 1 de severidad crítica, 10 altas y 4 medias que, en caso de ser explotadas, podrían permitir extraer archivos, modificar los permisos de ficheros críticos para el sistema o ejecutar código arbitrario, entre otras acciones.
Solución
Actualizar los productos a la última versión.
Detalle
La vulnerabilidad de severidad crítica es:
- CVE-2016-1000027: Pivotal Spring Framework hasta la versión 5.3.16 tiene un posible problema de ejecución de código en remoto (RCE) si se utiliza para la deserialización Java de datos no confiables. Dependiendo de cómo se implemente la biblioteca dentro de un producto puede o no, ocurrir este problema, y puede que sea necesaria la autenticación.
Para el resto de vulnerabilidades se recomienda consultar el enlace de las referencias.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2016-1000027 | Crítica | No | Broadcom |
| CVE-2026-23949 | Alta | No | Broadcom |
| CVE-2026-24049 | Alta | No | Broadcom |
| CVE-2026-27140 | Alta | No | Broadcom |
| CVE-2026-32280 | Alta | No | Broadcom |
| CVE-2026-32281 | Alta | No | Broadcom |
| CVE-2026-32283 | Alta | No | Broadcom |
| CVE-2026-32285 | Alta | No | Broadcom |
| CVE-2026-33810 | Alta | No | Broadcom |
| CVE-2026-34040 | Alta | No | Broadcom |
| CVE-2026-39883 | Alta | No | Broadcom |
Listado de referencias
Etiquetas
