Múltiples vulnerabilidades en Tanzu para Valkey de VMware
- Valkey Operator 3.3.2;
- Valkey, versiones 7.2.11, 8.0.6, 8.1.5, 9.0.2.
Broadcom ha reportado 60 vulnerabilidades: 1 crítica, 5 altas, 34 medias, 20 bajas. La explotación de estas vulnerabilidades podría permitir a un atacante reanudar una sesión con un servidor con el que no se habría reanudado durante el protocolo de enlace inicial, o que un servidor reanude una sesión con un cliente con el que no se habría reanudado durante el protocolo de enlace inicial, entre muchas otras.
Las vulnerabilidades se han solucionado por lo que se recomienda actualizar a alguna de las siguientes versiones:
- Valkey Operator, versión 3.3.3;
- Valkey, versiones 7.2.12, 8.0.7, 8.1.6, 9.0.3.
CVE-2025-68121: si la configuración de 'crypto/tls' tiene los campos 'ClientCAs' o 'RootCAs' mutados entre el protocolo de enlace inicial y el protocolo de enlace reanudado, puede provocar que este último tenga éxito cuando debería haber fallado. Esto puede ocurrir si se llama a 'Config.Clone' y se muta el protocolo de enlace devuelto, o se usa 'Config.GetConfigForClient'. Esto podría provocar que un cliente malintencionado pueda reanudar una sesión con un servidor con el que no se habría reanudado durante el protocolo de enlace inicial o o que un servidor reanude una sesión con un cliente con el que no se habría reanudado durante el protocolo de enlace inicial.
Las vulnerabilidades de severidades altas se les ha asignado los siguientes códigos: CVE-2025-61732, CVE-2025-4674, CVE-2025-61731, CVE-2025-61729, CVE-2025-61726, CVE-2025-58187, CVE-2025-58188, CVE-2025-61723, CVE-2025-61725, CVE-2025-47907 y CVE-2025-68119.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-68121 | Crítica | No | BROADCOM |
