Dos nuevos avisos de seguridad y una actualización
Índice
- Múltiples vulnerabilidades en productos de IBM
- Inyección HTML en Chorus CMS de Vox Media
- [Actualización 28/07/2025 ] Múltiples vulnerabilidades en productos de VMware
Múltiples vulnerabilidades en productos de IBM
Power:
- IBM Cloud Pak System 2.3.3.7 y 2.3.3.7 iFix1.
Intel:
- IBM Cloud Pak System 2.3.3.6, 2.3.3.6 iFix1 y 2.3.3.6 iFix2;
- IBM Cloud Pak System 2.3.4.0, 2.3.4.1 y 2.3.4.1 iFix1;
- IBM Cloud Pak System 2.3.5.0;
- IBM Cloud Pak System 2.3.6.0.
IBM ha publicado 4 vulnerabilidades: 2 de severidad crítica, 1 de severidad alta y otra de severidad media que de ser explotadas podrían permitir a un atacante ejecutar código remoto.
Para Intel, actualizar a IBM Cloud Pak System v2.3.6.0 con Foundation 2.1.28.1 e ITM 1.0.29.1 pTypes disponibles en IBM Fix Central.
Para Db2 pType, descargar la corrección de Db2 IBM Db2 11.5.9 Special Build 58840.
- CVE-2025-30065: vulnerabilidad de deserealización de datos no confiables. El análisis del esquema en el módulo 'parquet-avro' de Apache Parquet 1.15.0 y versiones anteriores permite a actores maliciosos ejecutar código arbitrario.
- CVE-2025-3357: vulnerabilidad en la validación incorrecta del índice, la posición o el desplazamiento especificados en la entrada. Un atacante remoto podría ejecutar código arbitrario debido a la validación incorrecta de un valor de índice de una matriz asignada dinámicamente.
Inyección HTML en Chorus CMS de Vox Media
Chorus CMS.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad baja que afecta a Chorus CMS de Vox Media. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-40730: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2025-40730: inyección HTML en Chorus CMS de Vox Media. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando el parámetro 'q' en '/search'. Esta vulnerabilidad puede ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.
[Actualización 28/07/2025 ] Múltiples vulnerabilidades en productos de VMware
- VMware Tanzu Greenplum 7.5.0;
- VMware Tanzu para Postgres en Kubernetes 4.1.0;
- VMware Tanzu para Valkey en Kubernetes 1.1.0.
[Actualización 28/07/2025]
- Tanzu Platform para Cloud Foundry 4.0.38+LTS-T,10.2.1+LTS-T, 10.0.8 y 6.0.18+LTS-T;
- Spring Cloud Services for VMware Tanzu 3.3.8;
- Tanzu Platform for Cloud Foundry isolation segment 10.2.1+LTS-T, 10.0.8, 6.0.18+LTS-T y 4.0.38+LTS-T;
- File Integrity Monitoring para VMware Tanzu 2.1.47;
- Spring Cloud Data Flow para VMware Tanzu 1.14.7;
- Anti-Virus para VMware Tanzu 2.4.0;
- GenAI on Tanzu Platform par Cloud Foundry 10.2.1.
Boadcom ha publicado varias notas de seguridad en las cuales se mencionan 19 vulnerabilidades de severidad crítica que de ser explotadas podrían poner en riesgo sus sistemas.
Actualizar a la última versión disponible.
Para más información consultar los enlaces que se encuentran en referencias.
Las vulnerabilidades de severidad crítica podrían provocar:
- comportamientos inesperados en la ejecución de programas o paquetes;
- ejecución de comandos arbitrarios o inserción de nuevas variables de entorno;
- depuración incorrecta durante la ejecución;
- tratamiento de flags incorrecto;
- ejecución de código remoto;
Se han asignado los identificadores CVE-2022-0543, CVE-2022-42967, CVE-2023-24531, CVE-2023-24538, CVE-2023-24540, CVE-2023-29402, CVE-2023-29404, CVE-2023-29405, CVE-2023-37920, CVE-2023-39631, CVE-2023-45853, CVE-2024-7804, CVE-2024-24790, CVE-2024-27304, CVE-2024-3596, CVE-2024-3660, CVE-2024-5535, CVE-2025-22871, para estas vulnerabilidades.
[Actualización 17/07/2025]
Se han asignado los identificadores CVE-2022-32221, CVE-2025-4517, CVE-2022-1292, CVE-2022-2068, CVE-2022-32207, CVE-2023-23914, CVE-2023-24538 para estas vulnerabilidades.
El resto de vulnerabilidades se pueden ver en los avisos oficiales enlazados en referencias.