Пятого мая 2026 года компания Broadcom опубликовала бюллетень безопасности, посвящённый устранению множественных уязвимостей в продукте Tanzu GemFire Management Console. Речь идёт о версиях, предшествующих релизу 1.4.4. Общая оценка риска по шкале CVSS (стандартная система оценки уязвимостей) достигла 9,8 балла, что соответствует критическому уровню угрозы. Канадский центр кибербезопасности уже рекомендовал всем пользователям и администраторам незамедлительно применить обновление.
Детали уязвимостей
Tanzu GemFire Management Console - это инструмент управления для одноимённой платформы обработки данных в реальном времени. Подобные системы широко используются в финансовом секторе, телекоммуникациях и крупных промышленных предприятиях. Таким образом, уязвимости в консоли управления могут открыть злоумышленникам доступ к критически важным узлам инфраструктуры. Атака на такой компонент способна привести к серьёзным последствиям - от утечки конфиденциальной информации до полной остановки производственных процессов.
Давайте разберёмся в деталях. Всего патч закрывает пятнадцать уязвимостей, одна из которых получила статус критической, одиннадцать - высокого уровня опасности и ещё три - среднего. Примечательно, что в обновление вошли исправления не только для собственных компонентов VMware, но и для сторонних библиотек, таких как Spring, Tomcat и Prometheus (система мониторинга и оповещения с открытым исходным кодом). Разработчики также обновили базовый образ операционной системы Photon.
Самая опасная уязвимость, отмеченная кодом CVE-2016-1000027, связана с компонентом Spring Framework, который используется во множестве корпоративных приложений. Проблема заключается в возможности удалённого выполнения кода при десериализации недоверенных данных. Иными словами, злоумышленник может отправить системе специально сформированный вредоносный объект, и если приложение его обработает, атакующий получит полный контроль над сервером. Оценка CVSS в 9,8 балла означает, что для эксплуатации не требуется ни аутентификации, ни взаимодействия с пользователем. Это делает уязвимость крайне привлекательной для массовых атак.
Перейдём к другим опасным дефектам. Набор уязвимостей с идентификаторами CVE-2026-32280, CVE-2026-32281 и CVE-2026-32283 затрагивает механизмы TLS (криптографический протокол, обеспечивающий защищённую передачу данных). Первые две проблемы связаны с неэффективной проверкой цепочек сертификатов: если в цепочку подставить большое количество промежуточных сертификатов или политик отображения, сервер может исчерпать все вычислительные ресурсы и отказать в обслуживании. Третья уязвимость в версии протокола TLS 1.3 позволяет заблокировать соединение, отправив множество сообщений с обновлением ключей в одном пакете. Все три дефекта могут быть использованы для организации атак типа "отказ в обслуживании" (DoS, то есть вывод системы из строя путём исчерпания её ресурсов).
Обратите внимание на уязвимость CVE-2026-24049, связанную с инструментом wheel для работы с пакетами Python. Проблема в том, что при распаковке вредоносного wheel-файла программа слепо доверяет имени файла из заголовка архива, даже если само имя было изменено в процессе извлечения. Злоумышленник может подсунуть архив, который изменит права доступа к системным файлам вроде /etc/passwd или ключей SSH (Secure Shell, протокол удалённого доступа). Это открывает путь к повышению привилегий (Privilege Escalation - получению прав администратора) и выполнению произвольного кода.
Не менее интересна история с уязвимостью CVE-2026-27140 в инструменте SWIG. Проблема допускает подмену доверия: файлы, содержащие в названии фрагмент "cgo", могут использоваться для протаскивания кода во время сборки проекта. В итоге атакующий получает возможность выполнить произвольный код на этапе компиляции, что особенно опасно в цепочках непрерывной интеграции и развёртывания (CI/CD, pipeline - автоматизированные процессы сборки, тестирования и поставки кода).
Одна из уязвимостей затрагивает контейнерную среду Moby (платформа с открытым исходным кодом для управления контейнерами). CVE-2026-34040 позволяет обойти плагины авторизации AuthZ, то есть злоумышленник может выполнять операции, которые должны быть запрещены политиками безопасности. В контексте контейнерной инфраструктуры это означает потенциальный выход за пределы изолированной среды и доступ к хостовой системе.
Что касается уязвимости CVE-2026-33810, она связана с неверной обработкой DNS-ограничений при проверке сертификатов. Проблема в том, что ограничения не применяются корректно к подстановочным (wildcard - шаблонным) сертификатам, если регистр символов в доменном имени отличается от заданного. Это позволяет злоумышленнику, контролирующему один поддомен, скомпрометировать весь родительский домен.
Каковы же возможные последствия для организаций, использующих уязвимые версии Tanzu GemFire Management Console?
В случае успешной атаки злоумышленник может получить полный контроль над системой управления данными. Это означает доступ к хранящимся в GemFire информационным массивам, возможность их модификации или удаления. Более того, через консоль управления можно влиять на конфигурацию кластера, что способно привести к остановке обработки данных и серьёзным финансовым потерям.
Для защиты от перечисленных угроз необходимо как можно скорее обновить Tanzu GemFire Management Console до версии 1.4.4. Соответствующий патч и инструкции по установке доступны на портале технической документации Broadcom по адресу techdocs.broadcom.com. Администраторам также стоит проверить, не используются ли в инфраструктуре библиотеки Spring, Tomcat, Moby или wheel с версиями, подверженными описанным уязвимостям. Особое внимание следует уделить автоматизированным сценариям развёртывания, где атака на этапе сборки может скомпрометировать все последующие артефакты.
Подводя итог, отметим, что одновременное закрытие полутора десятков уязвимостей, многие из которых позволяют удалённо выполнять код или вызывать отказ в обслуживании, - это весомый повод для внепланового обновления. Широкий спектр затронутых компонентов, включая фундаментальные библиотеки и протоколы, делает этот патч критически важным для любого предприятия, использующего платформы управления данными VMware. Промедление с установкой обновления может стоить компании не только репутации, но и значительных средств.
Ссылки
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37439
- https://nvd.nist.gov/vuln/detail/CVE-2016-1000027
- https://nvd.nist.gov/vuln/detail/CVE-2026-32289
- https://nvd.nist.gov/vuln/detail/CVE-2024-12798
- https://nvd.nist.gov/vuln/detail/CVE-2026-32282
- https://nvd.nist.gov/vuln/detail/CVE-2026-32288
- https://nvd.nist.gov/vuln/detail/CVE-2026-39883
- https://nvd.nist.gov/vuln/detail/CVE-2026-34040
- https://nvd.nist.gov/vuln/detail/CVE-2026-33810
- https://nvd.nist.gov/vuln/detail/CVE-2026-32285
- https://nvd.nist.gov/vuln/detail/CVE-2026-32283
- https://nvd.nist.gov/vuln/detail/CVE-2026-32281
- https://nvd.nist.gov/vuln/detail/CVE-2026-32280
- https://nvd.nist.gov/vuln/detail/CVE-2026-27140
- https://nvd.nist.gov/vuln/detail/CVE-2026-24049
- https://nvd.nist.gov/vuln/detail/CVE-2026-23949
