Múltiples vulnerabilidades en VMware Tanzu
Fecha de publicación 19/03/2026
Identificador
INCIBE-2026-204
Importancia
5 - Crítica
Recursos Afectados
- Services Suite;
- Tanzu Kubernetes Runtime;
- VMware Tanzu Application Service;
- VMware Tanzu Data Services;
- VMware Tanzu Data Services Pack;
- VMware Tanzu Data Suite;
- VMware Tanzu para MySQL;
- VMware Tanzu Kubernetes Grid Integrated Edition;
- VMware Tanzu Platform;
- VMware Tanzu Platform - Cloud Foundry;
- VMware Tanzu Platform Core;
- VMware Tanzu Platform Data;
- VMware Tanzu Platform - Kubernetes;
- VMware Tanzu SQL;
- Vmware Tanzu Platform - SM.
Descripción
Broadcom ha publicado 26 avisos de seguridad, 8 de ellos críticos. En los avisos críticos se corrigen un total de 79 vulnerabilidades, 5 de ellas de severidad crítica, 32 alta, 35 media y 7 baja. La explotación de estas vulnerabilidades podría permitir, entre otras acciones, la lectura de ficheros sensibles, evitar la autenticación y reiniciar sesiones entre el cliente y el servidor.
Solución
Actualizar los productos a la última versión.
Detalle
Las vulnerabilidades de severidad crítica son:
- CVE-2025-55130: un fallo en el modelo de permisos de Node.js permite a los atacantes evitar las restricciones empleando rutas relativas de enlaces simbólicos. Al encadenar directorios y enlaces simbólicos, un script que únicamente tenga permisos de acceso al directorio actual puede escaparse de la ruta encomendada y leer ficheros sensibles.
- CVE-2025-66614: vulnerabilidad de validación inadecuada de la entrada. Tomcat no valida si el nombre del host proporcionado por la extensión SNI es igual que el proporcionado por el campo host header de HTTP. Si Tomcat está configurado con más de un host virtual y la configuración TLS para uno de esos host no requiere autenticación de certificado del cliente pero otro host sí, era posible para un cliente omitir la autenticación del criticado del cliente enviando diferentes nombres de host en la extensión SNI y el campo host header de HTTP.
- CVE-2025-68121: durante la reanudación de la sesión en crypto/tls, si la Config subyacente tiene sus campos ClientCAs o RootCAs mutados entre el handshake inicial y el handshake reanudado, el handshake reanudado puede tener éxito cuando debería haber fallado. Esto puede hacer que un cliente reanude una sesión con un servidor con el que no la habría reanudado durante el handshake inicial, o hacer que un servidor reanude una sesión con un cliente con el que no la habría reanudado durante el handshake inicial.
- CVE-2025-22871: el paquete net/http acepta incorrectamente un LF simple como terminador de línea en líneas de datos fragmentados. Esto puede permitir el contrabando de solicitudes si se utiliza un servidor net/http junto con un servidor que acepta incorrectamente un LF simple como parte de una extensión fragmentada.
- CVE-2024-45337: las aplicaciones y bibliotecas que hacen un mal uso de la devolución de llamada ServerConfig.PublicKeyCallback pueden ser susceptibles a una omisión de autorización.
El resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-55130 | Crítica | No | Broadcom |
| CVE-2025-66614 | Crítica | No | Broadcom |
| CVE-2025-68121 | Crítica | No | Broadcom |
| CVE-2025-22871 | Crítica | No | Broadcom |
| CVE-2024-45337 | Crítica | No | Broadcom |
Listado de referencias
Etiquetas
