Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en VMware Tanzu
  • Múltiples vulnerabilidades en productos de Cisco
  • Desbordamiento de memoria en NetScaler

Múltiples vulnerabilidades en VMware Tanzu

Fecha26/06/2025
Importancia5 - Crítica
Recursos Afectados

Los productos:

  • VMware Tanzu Data Services;
  • VMware Tanzu Data Services Pack;
  • VMware Tanzu Data Services Solutions;
  • VMware Tanzu Data Suite;
  • VMware Tanzu PostgreSQL;
  • VMware Tanzu SQL.

Para:

  • Postgres 17.5.0;
  • Postgres 17.4.0;
  • Postgres 16.9.0;
  • Postgres 16.8.0;
  • Postgres 15.13.0;
  • Postgres 15.12.0;
  • Postgres 14.18.0;
  • Postgres 14.17.0;
  • Postgres 13.21.0;
  • Postgres 13.20.0;
  • Valkey 8.0.2;
  • Valkey 7.2.9.
Descripción

Broadcom ha publicado 3 notas de seguridad en las cuales informan de la actualización de gran cantidad de vulnerabilidades, entre ellas 4 de severidad crítica que, en caso de ser explotadas, podrían permitir evitar la autorización y ejecutar código en remoto, entre otras acciones.

Solución

Actualizar a la última versión de los productos afectados.

Detalle

Las vulnerabilidades de severidad crítica afectan a Postgres y son:

  • CVE-2024-24790: los diversos métodos Is (IsPrivate, IsLoopback, etc.) no funcionan como se espera para las direcciones IPv6 asignadas a IPv4, devolviendo falso para direcciones que deberían devolver verdadero en sus formas IPv4 tradicionales.
  • CVE-2024-7804: falta de verificación de seguridad durante el proceso de deserialización de objetos PythonUDF en pytorch/torch/distributed/rpc/internal.py. Esta falla permite a un atacante ejecutar código arbitrario en remoto mediante el envío de un objeto PythonUDF serializado malicioso, lo que provoca la ejecución remota de código (RCE) en el nodo maestro.
  • CVE-2023-47248: la deserialización de datos que no son de confianza en lectores IPC y Parquet en las versiones de PyArrow 0.14.0 a 14.0.0 permite la ejecución de código arbitrario.
  • CVE-2024-45337: las aplicaciones y bibliotecas que hacen un mal uso de la devolución de llamada ServerConfig.PublicKeyCallback pueden ser susceptibles a una omisión de autorización.

Múltiples vulnerabilidades en productos de Cisco

Fecha26/06/2025
Importancia5 - Crítica
Recursos Afectados
  • Para CVE-2025-20281: Cisco ISE y ISE-PIC, versiones 3.3 y posteriores.
  • Para CVE-2025-20282: Cisco ISE y ISE-PIC, versión 3.4.
Descripción

Cisco ha publicado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el sistema operativo subyacente como root o subir archivos arbitrarios a un dispositivo afectado y luego ejecutar esos archivos en el sistema operativo subyacente.

Solución

Cisco ha publicado actualizaciones de software gratuitas que solucionan las vulnerabilidad descritas en este aviso. Los clientes con contratos de servicio que les den derecho a actualizaciones de software periódicas deben obtener las correcciones de seguridad a través de sus canales de actualización habituales.

Detalle
  • Vulnerabilidad de validación insuficiente de la entrada proporcionada por el usuario en Cisco ISE y Cisco ISE-PIC. Esta podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el sistema operativo subyacente como root. El atacante no necesita credenciales válidas para explotar esta vulnerabilidad. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud de API manipulada. Se ha asignado el identificador CVE-2025-20281 para esta vulnerabilidad.
  • Vulnerabilidad de falta de comprobaciones de validación en Cisco ISE y Cisco ISE-PIC. Esta podría permitir a un atacante remoto, no autenticado, cargar archivos arbitrarios en un dispositivo afectado y luego ejecutar esos archivos en el sistema operativo subyacente como root. Un atacante podría explotar esta vulnerabilidad cargando un archivo manipulado en el dispositivo afectado. Se ha asignado el identificador CVE-2025-20282 para esta vulnerabilidad.

Desbordamiento de memoria en NetScaler

Fecha26/06/2025
Importancia5 - Crítica
Recursos Afectados

Las versiones compatibles de NetScaler ADC y NetScaler Gateway:

  • NetScaler ADC y NetScaler Gateway 14.1, anteriores a 14.1-47.46;
  • NetScaler ADC y NetScaler Gateway 13.1, anteriores a 13.1-59.19;
  • NetScaler ADC 13.1-FIPS y NDcPP, anteriores a 13.1-37.236-FIPS y NDcPP.

Las versiones 12.1 y 13.0 de NetScaler ADC y NetScaler Gateway han llegado al final de su ciclo de vida (EOL) y presentan vulnerabilidades. Se recomienda a los clientes actualizar sus dispositivos a una de las versiones compatibles que solucionen estas vulnerabilidades. 

Descripción

NetScaler ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante provocar un flujo de control no deseado y una denegación de servicio.

Solución

Cloud Software Group insta encarecidamente a los clientes afectados de NetScaler ADC y NetScaler Gateway a que instalen las versiones actualizadas pertinentes lo antes posible.

  • NetScaler ADC y NetScaler Gateway 14.1-47.46 y versiones posteriores.
  • NetScaler ADC y NetScaler Gateway 13.1-59.19 y versiones posteriores de 13.1.
  • NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1-37.236 y versiones posteriores de 13.1-FIPS y 13.1-NDcPP. Los clientes deben contactar con el soporte técnico para obtener las compilaciones 13.1-FIPS y 13.1-NDcPP que solucionan este problema.
Detalle

La vulnerabilidad de desbordamiento de memoria podría provocar un flujo de control no deseado y una denegación de servicio. Se ha asignado el identificador CVE-2025-6543 para esta vulnerabilidad.