Un nuevo aviso de seguridad y una actualización
Índice
- [Actualización 03/03/2026] Múltiples vulnerabilidades en VMWare Tanzu
- Múltiples vulnerabilidades de Google y otros componentes en Android y Samsung
[Actualización 03/03/2026] Múltiples vulnerabilidades en VMWare Tanzu
- VMware Tanzu Data Intelligence;
- VMware Tanzu Data Services;
- VMware Tanzu Data Services Pack;
- VMware Tanzu Data Services Solutions;
- VMware Tanzu Data Suite;
- VMware Tanzu for MySQL en Kubernetes;
- VMware Tanzu Platform;
- Vmware Tanzu Platform - SM;
- VMware Tanzu SQL;
- VMware Tanzu para Valkey;
- VMware Tanzu para Valkey en Kubernetes;
- VMware Tanzu Gemfire;
- VMware Tanzu Gemfire en Kubernetes.
[Actualización 03/03/2026] También están afectados los siguientes productos adicionales:
- RabbitMQ;
- VMware Tanzu RabbitMQ;
- VMware Tanzu Greenplum;
Broadcom ha publicado 5 avisos de seguridad en los que, en total, se resuelven 65 vulnerabilidades, 2 críticas, 23 altas, 38 medias y 2 bajas. La explotación de estas vulnerabilidades podría provocar, entre otras acciones, la conexión con servidores no autorizados y el desbordamiento del búfer de pila.
Actualizar los productos a la última versión.
Las vulnerabilidades de severidad crítica son:
- CVE-2025-68121: durante la reanudación de sesión (session resumption) en crypto/tls se podría tener éxito en el protocolo de enlace reanudado (resumed handshake) cuando debería fallar. Esto puede provocar que un cliente reanude una sesión con un servidor con el que no se habría reanudado durante el protocolo de enlace inicial, o que un servidor reanude una sesión con un cliente con el que no se habría reanudado durante el protocolo de enlace inicial.
- CVE-2025-15467: analizar un mensaje CMS AuthEnvelopedData con parámetros AEAD malintencionados puede provocar un desbordamiento del búfer de pila.
[Actualización 03/03/2026] En la actualización también se resuelve la siguiente vulnerabilidad crítica:
- CVE-2018-1115: postgresql en versiones anteriores a la 10.4 y la 9.6.9 es vulnerable en la extensión adminpack. La función pg_catalog.pg_logfile_rotate() no sigue las mismas lista de control de acceso que pg_rorate_logfile. Si adminpack se añade a una base de datos, un atacante que sea capaz de conectarse a ella podría explotar esta rotación forzada de registro.
El resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.
Múltiples vulnerabilidades de Google y otros componentes en Android y Samsung
Para Android, versiones anteriores a 2026-03-01 o 2026-03-05.
Para Samsung, Samsung Mobile.
Android y Samsung han publicado, respectivamente, un comunicado mensual publicando actualizaciones para sus productos donde se resuelven varias vulnerabilidades críticas, 10 en el caso de Android y 8 en el caso de Samsung. Las actualizaciones de estos dos proveedores tienen en común que muchas de las vulnerabilidades críticas corregidas son las mismas y están relacionadas con vulnerabilidades de Google.
Actualizar los productos a la última versión.
Las vulnerabilidades críticas que tienen en común ambos productos son:
- CVE-2026-0006: falta de validación de la longitud de los caracteres multibyte en la manipulación de texto de PostgreSQL permite a un usuario de la base de datos emitir consultas diseñadas para provocar un desbordamiento del búfer.
- CVE-2026-0027: posible escritura fuera de límites por un uso después de la liberación, lo que podría permitir una escalada local de privilegios en la que se necesitan privilegios de ejecución de System. No es precisa la interacción del usuario para explotar esta vulnerabilidad.
- CVE-2026-0028 y CVE-2026-0031: posible escritura fuera de límites por un desbordamiento de entero, lo que podría permitir una escalada local de privilegios en la que no son necesarios privilegios adicionales de ejecución. No es precisa la interacción del usuario para explotar esta vulnerabilidad.
- CVE-2026-0030: posible escritura fuera de límites por una comprobación incorrecta de los límites, lo que podría derivar en una escalada local de privilegios en la que no son necesarios privilegios adicionales de ejecución. No es precisa la interacción del usuario para explotar esta vulnerabilidad.
- CVE-2026-0037: posible corrupción de memoria por un error en la lógica del código, lo que podría derivar en una escalada local de privilegios en la que no son necesarios privilegios adicionales de ejecución. No es precisa la interacción del usuario para explotar esta vulnerabilidad.
- CVE-2026-0038: puede que haya una posibilidad de ejecutar código arbitrario debido a un error en la lógica del código. lo que podría derivar en una escalada local de privilegios en la que no son necesarios privilegios adicionales de ejecución. No es precisa la interacción del usuario para explotar esta vulnerabilidad.
- CVE-2026-0047: vulnerabilidad de Cross-Site Scripting (XSS) en Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC). Si se logra explotar con éxito un atacante podría ejecutar scripts arbitrarios en el contexto de la interfaz afectada o acceder a información sensible basada en el navegador.
Adicionalmente, Android también soluciona las siguientes vulnerabilidades críticas:
- CVE-2024-43859: vulnerabilidad en el kernel de Linux, en la gestión de una desreferencia a puntero nulo del kernel en una dirección virtual en f2fs.
- CVE-2025-48631: en Android hay una posible denegación de servicio persistente por agotamiento de recursos.