Múltiples vulnerabilidades en Telco Network Function Virtualization Orchestrator de HPE
Versiones de HPE Telco Network Function Virtualization Orchestrator v.7.6.0 y anteriores.
HPE ha informado sobre 9 vulnerabilidades en HPE Telco Network Function Virtualization Orchestrator, incluyendo 2 vulnerabilidades de severidad crítica, 3 de severidad alta, 2 de severidad media y 2 de severidad baja. La explotación exitosa de las vulnerabilidades más críticas podría permitir a un atacante ejecutar código arbitrario, comprometer la confidencialidad e integridad de la información o provocar condiciones de denegación de servicio en los sistemas afectados.
Actualizar HPE Telco Network Function Virtualization Orchestrator a la versión v.7.7.0 o posteriores.
CVE-2025-68121: se debe a una validación incorrecta de certificados durante la reanudación de sesiones en el componente crypto/tls. Si los parámetros ClientCAs o RootCAs son modificados entre el establecimiento inicial de la conexión y su reanudación, una sesión podría restablecerse correctamente cuando debería haber sido rechazada. Como consecuencia, un cliente o servidor podría aceptar conexiones con entidades que no habrían superado la validación original, permitiendo el acceso no autorizado y comprometiendo la confidencialidad e integridad de las comunicaciones.
CVE-2026-40453: se debe a una corrección incompleta de una vulnerabilidad previa en varias implementaciones de HeaderFilterStrategy de Apache Camel. Un atacante con capacidad para enviar mensajes a través de JMS u otros mecanismos equivalentes podría inyectar cabeceras internas especialmente manipuladas para eludir los filtros de seguridad. La explotación exitosa de esta vulnerabilidad podría permitir la ejecución remota de código y la escritura arbitraria de archivos en sistemas que procesen dichos mensajes mediante componentes vulnerables.
CVE-2026-35554: se debe a una condición de carrera en la gestión de búferes del cliente productor Java de Apache Kafka. Un atacante podría provocar la reutilización indebida de memoria liberada, ocasionando que mensajes destinados a un tema sean entregados a otro diferente sin generar errores. Como consecuencia, información sensible podría quedar expuesta a usuarios no autorizados y producirse alteraciones en la integridad de los datos procesados.
CVE-2026-25639 y CVE-2025-61726: vulnerabilidades que podrían ser explotadas remotamente para provocar condiciones de denegación de servicio. En el primer caso, un objeto de configuración especialmente diseñado puede provocar el cierre inesperado de aplicaciones que utilicen la biblioteca Axios. En el segundo, el procesamiento de formularios con un elevado número de parámetros puede ocasionar un consumo excesivo de memoria en aplicaciones que utilicen el paquete net/url de Go, afectando a la disponibilidad del servicio.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-68121 | Crítica | No | HPE |
| CVE-2026-40453 | Crítica | No | HPE |
| CVE-2026-35554 | Alta | No | HPE |
| CVE-2026-25639 | Alta | No | HPE |
| CVE-2025-61726 | Alta | No | HPE |
| CVE-2025-61728 | Media | No | HPE |
| CVE-2025-13465 | Media | No | HPE |
| CVE-2025-11143 | Baja | No | HPE |
| CVE-2026-2391 | Baja | No | HPE |
