Broadcom ha publicado 5 notas de seguridad con 164 vulnerabilidades de las cuales 19 son de severidad crítica. Identificador INCIBE-2025-0650 5 – Crítica CVE-2025-55754: neutralización incorrecta de secuencias de escape, meta o control en Apache Tomcat. un atacante podía usar una URL especialmente diseñada para inyectar secuencias de escape ANSI, manipular la consola y el portapapeles e intentar engañar a un administrador para que ejecutara un comando controlado por el atacante.CVE-2024-43498: ejecución remota de código en .NET y Visual Studio.CVE-2024-3566: vulnerabilidad de inyección de comandos que permite a un atacante realizar inyecciones de comandos en aplicaciones de Windows que dependen indirectamente de la función CreateProcess cuando se cumplen ciertas condiciones.CVE-2024-21896: vulnerabilidad de recorrido de directorios. Esta vulnerabilidad afecta a todos los usuarios que utilizan el modelo de permisos experimental en Node.js 20 y Node.js 21.CVE-2023-39332: limitación indebida de una ruta de acceso a un directorio restringido. Varias funciones de node:fs permiten especificar rutas como cadenas o como objetos Uint8Array.CVE-2023-26136: modificación indebidamente controlada de los atributos del prototipo del objeto. El paquete tough-cookie es vulnerables a la contaminación de prototipos debido al manejo incorrecto de las cookies al usar CookieJar en modo rejectPublicSuffixes=false.CVE-2021-44906: Minimist es vulnerable a la contaminación de prototipos a través del archivo index.js.CVE-2021-43616: Verificación insuficiente de la autenticidad de los datos.CVE-2021-42740: el paquete shell-quote, permite la inyección de comandos. Un atacante podría inyectar metacaracteres de shell sin escape mediante una expresión regular diseñada para admitir letras de unidad de Windows.CVE-2021-3918: json-schema es vulnerable a la modificación indebidamente controlada de los atributos del prototipo de objeto.CVE-2021-23383: el paquete handlebars es vulnerables a una contaminación de prototipos al seleccionar determinadas opciones de compilación para agrupar plantillas que provienen de una fuente no confiable.CVE-2021-23369: el paquete handlebars es vulnerables a una ejecución de código remota (RCE) al seleccionar determinadas opciones de compilación para compilar plantillas que provienen de una fuente no confiable.CVE-2019-9851: LibreOffice está comúnmente incorporada con LibreLogo, un script de gráficos vectoriales turtle programables, lo que puede ejecutar comandos arbitrarios de python contenidos con el documento desde que se inicia.CVE-2019-9850: LibreOffice está comúnmente incorporada con LibreLogo, un script de gráficos vectoriales turtle programables, lo que puede ejecutar comandos arbitrarios de python contenidos con el documento desde que se inicia.CVE-2019-9848: LibreOffice presenta una funcionalidad donde los documentos pueden especificar que los scripts preinstalados pueden ser ejecutados en varios eventos de documentos, tal como el mouse-over, etc.CVE-2018-16858: un atacante podría manipular un documento que, al ser abierto por LibreOffice, ejecute un método Python desde un script en cualquier ubicación arbitrara del sistema de archivos, especificada de forma relativa a la ubicación de instalación de LibreOffice.CVE-2018-14939: la función get_app_path en desktop/unx/source/start.c en LibreOffice hasta la versión 6.0.5 gestiona de manera incorrecta la función realpath en ciertos entornos, como FreeBSD libc, lo que podría permitir que atacantes provoquen una denegación de servicio.CVE-2018-1000620: entropía Insuficiente en el método randomDigits(). Podría permitir a un atacante a un atacante realizar un ataque de fuerza bruta.CVE-2019-10744: La función defaultsDeep de lodash podría ser manipulada para añadir o modificar propiedades de Object.prototype mediante una carga útil del constructor. Listado de referencias Product Release Advisory – VMware Tanzu Data Flow on Tanzu Platform 2.0.1 Product Release Advisory – .NET Core Buildpack 2.4.67 – dotnet-core-buildpack-offline-cflinuxfs3 Product Release Advisory – .NET Core Buildpack 2.4.67 – dotnet-core-buildpack-offline-cflinuxfs4 Product Release Advisory – .NET Core Buildpack 2.4.68 – dotnet-core-buildpack-offline-cflinuxfs3 Product Release Advisory – .NET Core Buildpack 2.4.68 – dotnet-core-buildpack-offline-cflinuxfs4
Recursos afectados: field–name-title field–type-string field–label-hidden>Múltiples vulnerabilidades en producto de VMwareJue, 20/11/2025 – 09:33
Versiones anteriores a:
- VMware Tanzu Data Flow en la plataforma Tanzu 2.0.1;
- .NET Core Buildpack 2.4.67;
- .NET Core Buildpack 2.4.68.
