VMware opravuje 3 zranitelnosti v produktech VMware ESXi, Workstation a Fusion

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] VMware opravuje 3 zranitelnosti v produktech VMware ESXi, Workstation a Fusion

VMware opravuje 1 kritickou a 2 vysoce závažné zranitelnosti ve svých produktech VMware ESXi, Workstation a Fusion [1]. Zranitelné produkty a jejich opravy: VMware ESXi - ESXi80U3d-24585383, ESXi80U2d-24585300, ESXi70U3s-24585291 [1] VMware Workstation - 17.6.3 [1] VMware Fusion - 13.6.3 [1] Postup opravy pro produkty v rámci cloudových platforem VMware Cloud Foundation a Telco Cloud Platform jsou k dispozici na [2][3].

VMware ESXi, Workstation - VMCI heap overflow (CVE-2025-22224) CVSS 9.3 (Critical)

Neautentizovanému lokálnímu útočníkovi s administrátorskými oprávněními na virtuálním stroji je v produktech VMware ESXi a Workstation umožněno vykonat kód jako proces VMX virtuálního stroje běžícího na hostiteli [1].

Zranitelnost se nachází v produktech:

VMware ESXi ve verzích (=8.0) OR (=7.0)
VMware Workstation ve verzích >=17.0 AND <17.6.3

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Více informací:

CVE-2025-22224 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition at cwe.mitre.org

Zranitelnost byla veřejně oznámena 4. 3. 2025.

VMware ESXi - arbitrary write (CVE-2025-22225) CVSS 8.2 (High)

Autentizovanému lokálnímu útočníkovi s oprávněními v rámci procesu VMX je v produktu VMware ESXi umožněno vyvolat libovolný zápis do jádra, což může vést k úniku ze sandboxu [1].

Zranitelnost se nachází v produktu VMware ESXi ve verzích (=8.0) OR (=7.0).

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

CVE-2025-22225 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-123: Write-what-where Condition at cwe.mitre.org

Zranitelnost byla veřejně oznámena 4. 3. 2025.

VMware ESXi, Workstation, Fusion - information disclosure (CVE-2025-22226) CVSS 7.1 (High)

Neautentizovanému lokálnímu útočníkovi s administrátorskými oprávněními na virtuálním stroji je v produktech VMware ESXi, Workstation a Fusion umožněno způsobit únik paměti z procesu VMX [1].

Zranitelnost se nachází v produktech:

VMware ESXi ve verzích (=8.0) OR (=7.0)
VMware Workstation ve verzích >=17.0 AND <17.6.3
VMware Fusion ve verzích >=13.0 AND <13.6.3

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Více informací:

CVE-2025-22226 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-125: Out-of-bounds Read at cwe.mitre.org

Zranitelnost byla veřejně oznámena 4. 3. 2025.

Odkazy

Za CESNET-CERTS Michaela Jarošová dne 5. 3. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] VMware opravuje 3 zranitelnosti v produktech VMware ESXi, Workstation a Fusion

VMware ESXi, Workstation - VMCI heap overflow (CVE-2025-22224) CVSS 9.3 (Critical)

VMware ESXi - arbitrary write (CVE-2025-22225) CVSS 8.2 (High)

VMware ESXi, Workstation, Fusion - information disclosure (CVE-2025-22226) CVSS 7.1 (High)

Odkazy