Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en VMware Tanzu
  • Múltiples vulnerabilidades en productos de Citrix

Múltiples vulnerabilidades en VMware Tanzu

Fecha24/03/2026
Importancia5 - Crítica
Recursos Afectados
  • Tanzu Kubernetes Runtime;
  • VMware Tanzu Application Service;
  • VMware Tanzu Data Intelligence;
  • VMware Tanzu Data Services;
  • VMware Tanzu Data Services Pack;
  • VMware Tanzu Data Suite;
  • VMware Tanzu for Postgres;
  • VMware Tanzu Gemfire;
  • VMware Tanzu Kubernetes Grid Integrated Edition;
  • VMware Tanzu Platform;
  • VMware Tanzu Platform - Cloud Foundry;
  • VMware Tanzu Platform Core;
  • VMware Tanzu Platform Data;
  • VMware Tanzu Platform - Kubernetes;
  • Vmware Tanzu Platform - SM;
  • VMware Tanzu SQL.
Descripción

Broadcom ha publicado 5 avisos de seguridad donde informan de un total de 124 vulnerabilidades, 11 de ellas críticas, 60 altas, 4 bajas y 49 medias. En caso de explotarse estas vulnerabilidades se puede ejecutar comandos arbitrarios, introducir nuevas variables de entorno o leer archivos confidenciales, entre otras acciones.

Solución

Actualizar a la última versión.

Detalle

Las vulnerabilidades de severidad crítica son las siguientes, clasificadas por tipo de vulnerabilidad:

  • Problemas con la autenticación:
    • CVE-2025-55130.
  • Problemas con los certificados:
    • CVE-2025-68121.
  • Problemas de inyección, de comandos, de código, etc.:
    • CVE-2023-29405;
    • CVE-2023-29404;
    • CVE-2023-29402;
    • CVE-2023-24540;
    • CVE-2023-24538;
    • CVE-2023-24531.
  • Otros, no especificado:
    • CVE-2025-22871;
    • CVE-2024-45337;
    • CVE-2024-24790;
    • CVE-2023-24531.

El resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.

Múltiples vulnerabilidades en productos de Citrix

Fecha24/03/2026
Importancia5 - Crítica
Recursos Afectados
  • NetScaler ADC y NetScaler Gateway 14.1 anterior a 14.1-66.59;
  • NetScaler ADC y NetScaler Gateway 13.1 anterior a 13.1-62.23;
  • NetScaler ADC FIPS y NDcPP anterior a 13.1-37.262.
Descripción

Citrix ha informado de dos vulnerabilidades, una de severidad crítica y otra alta que, en caso de se explotadas, podrían permitir la mezcla de sesiones y la sobre-lectura de memoria.

Solución

Actualizar los productos a alguna de las siguientes versiones:

  • NetScaler ADC y NetScaler Gateway 14.1-66.59 y versiones posteriores;
  • NetScaler ADC y NetScaler Gateway 13.1-62.23 y versiones posteriores de la 13.1;
  • NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1.37.262 y versiones posteriores de 13.1-FIPS y 13.1-NDcPP.
Detalle
  • CVE-2026-3055: una validación insuficiente de entradas cuando se configura como proveedor de identidades SAML provoca una sobre-lectura de memoria.
  • CVE-2026-4368: cuando el dispositivo está configurado como puerta de enlace (gateway) -SSL VPN, ICA Proxy, CVPN, RDP Proxy- o como servidor virtual AAA principal, puede producirse una condición de carrera, lo que provoca una confusión en las sesiones de usuario.