Broadcom publikuje biuletyn bezpieczeństwa dla VMware VMSA-2025-0013 (P25-225)

utworzone przez | lip 17, 2025 | Aktualizacje

ProduktVMware Cloud Foundation – wersja 9.0.0.0
VMware vSphere Foundation – wersja 9.0.0.0
VMware ESXi – wersja 8.0 VMware ESXi – wersja 8.0
VMware ESXi – wersja 7.0 VMware Workstation – wersja 17.x
VMware Fusion – wersja 13.x VMware Cloud Foundation – wersja 5.x
VMware Cloud Foundation – wersja 4.5.x VMware Telco Cloud Platform – wersje 5.x i 4.x
VMware Telco Cloud Platform – wersje 3.x i 2.x
VMware Telco Cloud Infrastructure – wersje 3.x i 2.x
VMware Tools [1] – wersja 13.x.x
VMware Tools [1] – wersje 12.x.x i 11.x.x
VMware Tools – wersje 13.x.x, 12.x.x i 11.x.x
VMware Tools – wersje 13.x.x, 12.x.x i 11.x.x
Numer CVECVE-2025-41236
Krytyczność9,3/10
CVSSAV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
OpisOsoba atakująca z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej z wirtualną kartą sieciową VMXNET3 może wykorzystać ten problem do wykonania kodu na hoście. Karty wirtualne inne niż VMXNET3 nie są dotknięte tym problemem.
  
Numer CVECVE-2025-41237
Krytyczność8,4/10
CVSSAV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisOsoba atakująca z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej może wykorzystać ten problem do wykonania kodu, gdy proces VMX maszyny wirtualnej działa na hoście. W systemie ESXi eksploatacja jest ograniczona do środowiska testowego VMX, natomiast w systemach Workstation i Fusion może prowadzić do wykonania kodu na komputerze, na którym zainstalowano Workstation lub Fusion.
  
Numer CVECVE-2025-41238
Krytyczność7.4/10
CVSSAV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisOsoba atakująca z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej może wykorzystać ten błąd do wykonania kodu jako proces VMX maszyny wirtualnej działający na hoście. W systemie ESXi luka jest ograniczona do środowiska testowego VMX i może zostać wykorzystana tylko w konfiguracjach, które nie są obsługiwane. W systemach Workstation i Fusion może to doprowadzić do wykonania kodu na maszynie, na której zainstalowano Workstation lub Fusion.
  
Numer CVECVE-2025-41239
Krytyczność7.1/10
CVSSAV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
OpisOsoba atakująca z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej może wykorzystać ten błąd do wycieku pamięci z procesów komunikujących się z vSocket.
  
AktualizacjaTAK
Linkhttps://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877