Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de IBM

Fecha de publicación 28/07/2025
Identificador
INCIBE-2025-0406
Importancia
5 - Crítica
Recursos Afectados

Power:

  • IBM Cloud Pak System 2.3.3.7 y 2.3.3.7 iFix1.

Intel:

  • IBM Cloud Pak System 2.3.3.6, 2.3.3.6 iFix1 y 2.3.3.6 iFix2;
  • IBM Cloud Pak System 2.3.4.0, 2.3.4.1 y 2.3.4.1 iFix1;
  • IBM Cloud Pak System 2.3.5.0;
  • IBM Cloud Pak System 2.3.6.0.
Descripción

IBM ha publicado 4 vulnerabilidades: 2 de severidad crítica, 1 de severidad alta y otra de severidad media que de ser explotadas podrían permitir a un atacante ejecutar código remoto.

Solución

Para Intel, actualizar a IBM Cloud Pak System v2.3.6.0 con Foundation 2.1.28.1 e ITM 1.0.29.1 pTypes disponibles en IBM Fix Central.

Para Db2 pType, descargar la corrección de Db2 IBM Db2 11.5.9 Special Build 58840.

Detalle
  • CVE-2025-30065: vulnerabilidad de deserialización de datos no confiables. El análisis del esquema en el módulo 'parquet-avro' de Apache Parquet 1.15.0 y versiones anteriores permite a actores maliciosos ejecutar código arbitrario.
  • CVE-2025-3357: vulnerabilidad en la validación incorrecta del índice, la posición o el desplazamiento especificados en la entrada. Un atacante remoto podría ejecutar código arbitrario debido a la validación incorrecta de un valor de índice de una matriz asignada dinámicamente.
CVE
Explotación
No
Fabricante
ibm
Identificador CVE
CVE-2025-30065
Severidad
Crítica
Explotación
No
Fabricante
ibm
Identificador CVE
CVE-2025-3357
Severidad
Crítica
Listado de referencias
Security Bulletin: Due to the use of IBM Tivoli Monitoring and IBM Db2, IBM Cloud Pak System is affected by multiple vulnerabilities
Etiquetas