Múltiples vulnerabilidades en VMware Tanzu
Fecha de publicación 26/06/2025
Identificador
INCIBE-2025-0346
Importancia
5 - Crítica
Recursos Afectados
Los productos:
- VMware Tanzu Data Services;
- VMware Tanzu Data Services Pack;
- VMware Tanzu Data Services Solutions;
- VMware Tanzu Data Suite;
- VMware Tanzu PostgreSQL;
- VMware Tanzu SQL.
Para:
- Postgres 17.5.0;
- Postgres 17.4.0;
- Postgres 16.9.0;
- Postgres 16.8.0;
- Postgres 15.13.0;
- Postgres 15.12.0;
- Postgres 14.18.0;
- Postgres 14.17.0;
- Postgres 13.21.0;
- Postgres 13.20.0;
- Valkey 8.0.2;
- Valkey 7.2.9.
Descripción
Broadcom ha publicado 3 notas de seguridad en las cuales informan de la actualización de gran cantidad de vulnerabilidades, entre ellas 4 de severidad crítica que, en caso de ser explotadas, podrían permitir evitar la autorización y ejecutar código en remoto, entre otras acciones.
Solución
Actualizar a la última versión de los productos afectados.
Detalle
Las vulnerabilidades de severidad crítica afectan a Postgres y son:
- CVE-2024-24790: los diversos métodos Is (IsPrivate, IsLoopback, etc.) no funcionan como se espera para las direcciones IPv6 asignadas a IPv4, devolviendo falso para direcciones que deberían devolver verdadero en sus formas IPv4 tradicionales.
- CVE-2024-7804: falta de verificación de seguridad durante el proceso de deserialización de objetos PythonUDF en pytorch/torch/distributed/rpc/internal.py. Esta falla permite a un atacante ejecutar código arbitrario en remoto mediante el envío de un objeto PythonUDF serializado malicioso, lo que provoca la ejecución remota de código (RCE) en el nodo maestro.
- CVE-2023-47248: la deserialización de datos que no son de confianza en lectores IPC y Parquet en las versiones de PyArrow 0.14.0 a 14.0.0 permite la ejecución de código arbitrario.
- CVE-2024-45337: las aplicaciones y bibliotecas que hacen un mal uso de la devolución de llamada ServerConfig.PublicKeyCallback pueden ser susceptibles a una omisión de autorización.
Listado de referencias
Etiquetas
