Múltiples vulnerabilidades en productos de VMware

Las vulnerabilidades de severidad critica se resumen a continuación:

• CVE-2024-45337: Las aplicaciones y bibliotecas pueden ser susceptibles a una omisión de autorización.
• CVE-2024-41110: Vulnerabilidad en ciertas versiones de Docker Engine podría permitir a un atacante eludir la autorización.
• CVE-2025-22871: Un paquete net/http acepta incorrectamente un LF simple como terminador de línea en líneas de datos fragmentados. Esto puede permitir la manipulación de solicitudes.
• CVE-2025-30204: Una solicitud maliciosa cuyo encabezado de autorización consiste en “Bearer” seguido de muchos puntos, una llamada a dicha función genera asignaciones de O(n) bytes. Esto significa que el uso de memoria es lineal con respecto a la longitud del argumento, pero con un coeficiente alto, lo que puede llevar a un consumo excesivo de recursos del sistema afectado.
• CVE-2024-7804: Falta de verificación de seguridad durante el proceso de deserialización de objetos PythonUDF en pytorch/torch/distributed/rpc/internal.py. Esto permite a un atacante ejecutar código arbitrario remotamente.
• CVE-2023-39631: un problema en LanChain-ai permite que un atacante remoto ejecute código arbitrario a través de la función de evaluación en la biblioteca numexpr.
• CVE-2025-4517: permite escrituras arbitrarias en el sistema de archivos fuera del directorio de extracción durante la extracción con filter=”data”.
• CVE-2025-9288: la vulnerabilidad de validación de entrada incorrecta en sha.js permite la manipulación de datos de entrada.