Múltiples vulnerabilidades en productos de VMware Tanzu

A continuación se describe el detalle de las vulnerabilidades de severidad crítica:

• CVE-2023-39631: permite que un atacante remoto ejecute código arbitrario a través de la función de evaluación en la biblioteca numexpr.
• CVE-2024-3596: el protocolo RADIUS, según lo definido en el RFC 2865, es vulnerable a ataques de falsificación por parte de un atacante local. Este podría modificar cualquier respuesta legítima (Access-Accept, Access-Reject o Access-Challenge) y sustituirla por otra, mediante un ataque de colisión de prefijo elegido dirigido a la firma del autenticador de respuesta basada en MD5.
• CVE-2023-37920:  las versiones anteriores a la versión 2023.07.22 de Certifi eliminan los certificados root de "e-Tugra" del almacén raíz.
• CVE-2022-42967: Caret es vulnerable a un ataque XSS cuando el usuario abre un archivo Markdown creado con el modo de vista previa habilitado. Esto provoca directamente la ejecución de código del lado del cliente.
• CVE-2024-7804: falta de verificación de seguridad durante el proceso de deserialización de objetos PythonUDF en pytorch/torch/distributed/rpc/internal.py. Esta permite a un atacante ejecutar código arbitrario remotamente.
• CVE-2024-3660: inyección de código arbitrario en el marco Keras de TensorFlow (<2.13) permite a los atacantes ejecutar código arbitrario.
• CVE-2022-42889: Apache Commons Text realiza interpolación de variables, lo que permite evaluar y expandir dinámicamente las propiedades. Las versiones afectadas pueden ser vulnerables a la ejecución remota de código o a la conexión involuntaria con servidores remotos.