Broadcom ha publicado para su programa VMware Tanzu 2 avisos de seguridad con 26 vulnerabilidades en total, de las cuales 2 son de severidad crítica, 9 altas y 15 medias. Si se explotan las vulnerabilidades, se puede alterar el flujo normal de comunicaciones.
Análisis
Las vulnerabilidades de severidad crítica son:
- CVE-2024-45337: las aplicaciones y bibliotecas que hacen un uso indebido de connection.serverAuthenticate (a través del campo de devolución de llamada ServerConfig.PublicKeyCallback) pueden ser susceptibles de eludir la autorización.
- CVE-2025-22871: el paquete net/http acepta incorrectamente un LF simple como terminador de línea en líneas de tamaño de fragmento de datos fragmentados. Esto puede permitir el contrabando de solicitudes si se utiliza un servidor net/http junto con un servidor que acepta incorrectamente un LF simple como parte de un chunk-ext.
Productos Afectados
- VMware Tanzu Data Intelligence;
- VMware Tanzu Data Suite;
- VMware Tanzu Greenplum;
- Tanzu Kubernetes Runtime;
- VMware Tanzu Application Service;
- VMware Tanzu Kubernetes Grid Integrated Edition
- VMware Tanzu Platform;
- VMware Tanzu Platform – Cloud Foundry;
- VMware Tanzu Platform Core;
- VMware Tanzu Platform – Kubernetes;
- VMware Tanzu Platform – SM.
Referencias
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-vmware-tanzu-0