Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

[Actualización 03/03/2026] Múltiples vulnerabilidades en VMWare Tanzu

Fecha de publicación 24/02/2026
Identificador
INCIBE-2026-139
Importancia
5 - Crítica
Recursos Afectados
  • VMware Tanzu Data Intelligence;
  • VMware Tanzu Data Services;
  • VMware Tanzu Data Services Pack;
  • VMware Tanzu Data Services Solutions;
  • VMware Tanzu Data Suite;
  • VMware Tanzu for MySQL en Kubernetes;
  • VMware Tanzu Platform;
  • Vmware Tanzu Platform - SM;
  • VMware Tanzu SQL;
  • VMware Tanzu para Valkey;
  • VMware Tanzu para Valkey en Kubernetes;
  • VMware Tanzu Gemfire;
  • VMware Tanzu Gemfire en Kubernetes.
Descripción

Broadcom ha publicado 5 avisos de seguridad en los que, en total, se resuelven 65 vulnerabilidades, 2 críticas, 23 altas, 38 medias y 2 bajas. La explotación de estas vulnerabilidades podría provocar, entre otras acciones, la conexión con servidores no autorizados y el desbordamiento del búfer de pila.

Solución

Actualizar los productos a la última versión.

Detalle

Las vulnerabilidades de severidad crítica son:

  • CVE-2025-68121: durante la reanudación de sesión (session resumption) en crypto/tls se podría tener éxito en el protocolo de enlace reanudado (resumed handshake) cuando debería fallar. Esto puede provocar que un cliente reanude una sesión con un servidor con el que no se habría reanudado durante el protocolo de enlace inicial, o que un servidor reanude una sesión con un cliente con el que no se habría reanudado durante el protocolo de enlace inicial.
  • CVE-2025-15467: analizar un mensaje CMS AuthEnvelopedData con parámetros AEAD malintencionados puede provocar un desbordamiento del búfer de pila.

El resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-68121 Crítica No Broadcom
CVE-2025-15467 Crítica No Broadcom
CVE-2018-1115 Crítica No Broadcom
Listado de referencias
Broadcom (TNZ-2025-0419) - Product Release Advisory - VMware Tanzu GemFire on Kubertnetes 2.6.1
Broadcom (TNZ-2025-0420) - Product Release Advisory - VMware Tanzu GemFire Management Console 1.4.3
Broadcom (TNZ-2025-0421) - Product Release Advisory - VMware Tanzu for Valkey 9.0.2
Broadcom (TNZ-2025-0422) - Product Release Advisory - VMware Tanzu for Valkey on Kubernetes 3.3.2
Broadcom (TNZ-2025-0423) - Product Release Advisory - VMware Tanzu for MySQL on Kubernetes 2.0.1
Broadcom (TNZ-2026-0162) - Product Release Advisory - VMware Tanzu RabbitMQ on Kubernetes 4.2.4.1, 4.1.9.1, 4.0.18.1, 3.13.13.1
Broadcom (TNZ-2026-0161) - Product Release Advisory - VMware Tanzu Greenplum Backup and Restore 1.32.4
Broadcom (TNZ-2026-0160) - Product Release Advisory - VMware Tanzu Greenplum Upgrade 1.10.3
Broadcom (TNZ-2026-0159) - Product Release Advisory - VMware Tanzu Greenplum 6.32.1
Broadcom (TNZ-2026-0158) - Product Release Advisory - VMware Tanzu Greenplum 7.7.1
Etiquetas