Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Tanzu de VMWare

Fecha de publicación 30/04/2025
Identificador
INCIBE-2025-0212
Importancia
5 - Crítica
Recursos Afectados
  • VMware Tanzu Greenplum, versión 7.4.0 y anteriores;
  • VMware Tanzu GemFire Vector Database, versión 1.1.0 y anteriores.
Descripción

Broadcom ha publicado 8 vulnerabilidades, una de severidad crítica, 2 altas y el resto medias que afectan a componentes de VMware Tanzu y que podrían permitir, entre otras cosas, añadir o modificar datos, o provocar una denegación de servicio (DoS).

Solución

Actualizar a la última versión de los productos:

  • VMware Tanzu Greenplum, versión 7.4.1;
  • VMware Tanzu GemFire Vector Database, versión 1.2.0.
Detalle

La vulnerabilidad, de severidad crítica, afecta a Greenplum Cluster Management, y se produce por un fallo en la autenticación empleando claves públicas. Las aplicaciones y bibliotecas que hacen un uso indebido de connection.serverAuthenticate (mediante el campo de devolución de llamada ServerConfig.PublicKeyCallback) pueden ser susceptibles a una omisión de autorización. Se ha asignado el identificador CVE-2024-45337 a esta vulnerabilidad.

Para las vulnerabilidades de severidad altas se han asignado los identificadores CVE-2025-1094 y CVE-2024-45772.

El resto de vulnerabilidades se pueden consultar el aviso oficial enlazado en las referencias.