Author: Seguridad CSIRT-CV

Broadcom ha publicat per al seu programa VMware Tanzu 2 avisos de seguretat amb 26 vulnerabilitats en total, de les quals 2 són de severitat crítica, 9 altes i 15 mitjanes. Si s’exploten les vulnerabilitats, es pot alterar el flux normal de comunicacions.

Análisi

Les vulnerabilitats de severitat crítica són:

• • CVE-2024-45337: les aplicacions i biblioteques que fan un ús indegut de connection.serverAuthenticate (a través del camp de devolució de cridada ServerConfig.PublicKeyCallback) poden ser susceptibles d’eludir l’autorització.
  • CVE-2025-22871: el paquet net/http accepta incorrectament un LF simple com a terminador de línia en línies de grandària de fragment de dades fragmentades. Això pot permetre el contraban de sol·licituds si s’utilitza un servidor net/http juntament amb un servidor que accepta incorrectament un LF simple com a part d’un chunk-ext.

Productes Afectats

• • VMware Tanzu Data Intelligence;
  • VMware Tanzu Data Suite;
  • VMware Tanzu Greenplum;
  • Tanzu Kubernetes Runtime;
  • VMware Tanzu Application Service;
  • VMware Tanzu Kubernetes Grid Integrated Edition
  • VMware Tanzu Platform;
  • VMware Tanzu Platform – Cloud Foundry;
  • VMware Tanzu Platform Core;
  • VMware Tanzu Platform – Kubernetes;
  • VMware Tanzu Platform – SM.

• Referències

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-vmware-tanzu-0

HP ha publicat 3 butlletins de seguretat que sumen més de 1.400 vulnerabilitats, 8 de les quals són de severitat crítica. En cas de ser explotades podrien permetre l’escalada de privilegis, l’execució arbitrària de codi, denegacions de servici i la revelació d’informació.

Análisi

Les vulnerabilitats de severitat crítica són les indicades a continuació, i també s’indica el tipus de vulnerabilitat:

CVE-2025-27832, CVE-2025-27836 i CVE-2024-38541: còpia de la memòria intermèdia (buffer) sense comprovar la grandària de l’entrada (clàssic desbordament del buffer);
CVE-2025-5914: doble alliberament;
CVE-2025-32911: alliberament de memòria sense ser del monticle;
CVE-2025-49796: lectura fora de límits;
CVE-2025-49794: desreferència a punter expirat;
CVE-2023-38408: element o ruta de busca sense posar entre cometes.

Productes Afectats

Recomanacions

En la mesura que siga possible, actualitzar a l’última versió.

Referències

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-hp-0

Google ha llançat una actualització per al seu navegador Chrome que inclou 20 correccions de seguretat, diverses de les quals són d’alta gravetat. La major part d’estes vulnerabilitats es van trobar en el motor V8 de Chrome, la part de Chrome (i altres navegadors basats en Chromium) que executa JavaScript..

Análisi

Google ha llançat una actualització per al seu navegador Chrome que inclou 20 correccions de seguretat, diverses de les quals són d’alta gravetat. La majoria d’estes vulnerabilitats es van trobar en el motor V8 de Chrome, la part de Chrome (i altres navegadors basats ​​en Chromium) que executa JavaScript.

Chrome és, amb diferència, el navegador més popular del món, utilitzat per aproximadament 3.400 milions de persones. Esta magnitud implica que, quan Chrome presenta una vulnerabilitat de seguretat, milers de milions d’usuaris queden potencialment exposats fins que actualitzen el navegador.

Estes vulnerabilitats són greus perquè afecten el codi que executa quasi tots els llocs web que visites. Cada vegada que carregues una pàgina, el teu navegador executa JavaScript de diverses fonts, tant si t’adones com si no. Sense les mesures de seguretat adequades, els atacants poden introduir instruccions malicioses que el teu navegador executa, a vegades sense que faces clic en res. Això podria provocar el robatori de dades, infeccions de programari maliciós o fins i tot la vulneració total del sistema.

Per això és important instal·lar estos pedaços com més prompte millor. Si no els instal·les, podries ser vulnerable a un atac simplement navegant per internet, i els atacants solen aprofitar este tipus de vulnerabilitats abans que la majoria dels usuaris tinguen l’oportunitat d’actualitzar. Deixa sempre que el teu navegador s’actualitze automàticament i no retardes el reinici per a aplicar els pedaços de seguretat, ja que les actualitzacions solen solucionar precisament este tipus de riscos.

Entre les vulnerabilitats del motor V8, en destaquen dos:

CVE-2025-12428 és una vulnerabilitat d’alta gravetat de «confusió de tipus» en el motor JavaScript V8. Això ocorre quan el codi no verifica el tipus d’objecte que està processant i, per tant, l’utilitza incorrectament. En altres paraules, el programari confon un tipus de dada amb un altre, com ara tractar una llista com un sol valor o un número com a text. Això pot provocar un comportament impredictible en Chrome i, en alguns casos, permetre que els atacants manipulen la memòria i executen codi de manera remota mitjançant JavaScript maliciós en un lloc web compromés.

La vulnerabilitat CVE-2025-12036, classificada com a crítica, es deu a una implementació incorrecta en V8. Esta vulnerabilitat permet l’execució remota de codi (RCE), cosa que significa que un atacant podria executar codi en el seu ordinador simplement redirigint la seua visita a una pàgina web especialment dissenyada. S’origina en un maneig inadequat del funcionament intern dels motors JavaScript i WebAssembly, i comporta un alt risc de robatori de dades, instal·lació de programari maliciós i fins i tot la vulneració total del sistema.

Els usuaris d’altres navegadors basats ​​en Chromium, com Edge, Opera i Brave, poden esperar actualitzacions similars en un futur pròxim.

Recomanacions

Referències

https://www.malwarebytes.com/blog/news/2025/10/update-chrome-now-20-security-fixes-just-landed

https://www.malwarebytes.com/blog/explained/2025/06/how-to-update-chrome-on-every-operating-system