Múltiples investigadores han reportado 4 vulnerabilidades: 3 de severidad crítica y 1 de severidad alta, cuya explotación podría permitir a un atacante ejecutar código en el host o filtrar memoria de los procesos que se comunican con vSockets. Identificador INCIBE-2025-0384 5 – Crítica CVE-2025-41236: vulnerabilidad de desbordamiento de enteros. Un actor malintencionado con privilegios administrativos locales en una máquina virtual con el adaptador de red virtual VMXNET3, puede aprovechar este problema para ejecutar código en el host. Los adaptadores virtuales que no son VMXNET3 no se ven afectados por este problema.CVE-2025-41237: desbordamiento de enteros en VMCI (Virtual Machine Communication Interface) que conduce a una escritura fuera de límites. Un actor malicioso con privilegios administrativos locales en una máquina virtual, podría explotar esta vulnerabilidad para ejecutar código como proceso VMX de la máquina virtual que se ejecuta en el host. En ESXi, la explotación está contenida dentro del sandbox VMX mientras que, en Workstation y Fusion, esto puede llevar a la ejecución de código en la máquina donde están instalados.CVE-2025-41238: vulnerabilidad de desbordamiento de montón en el controlador PVSCSI (Paravirtualized SCSI) que conduce a una escritura fuera de los límites. Un actor malicioso con privilegios administrativos locales en una máquina virtual, puede explotar este problema para ejecutar código como proceso VMX de la máquina virtual que se ejecuta en el host. En ESXi, la explotación está contenida dentro del sandbox VMX y sólo es explotable con configuraciones no soportadas. En Workstation y Fusion, esto puede llevar a la ejecución de código en la máquina donde están instalados.CVE-2025-41239: VMware ESXi, Workstation, Fusion y VMware Tools contienen una vulnerabilidad de divulgación de información debido al uso de una memoria no inicializada en vSockets. Un actor malicioso con privilegios administrativos locales en una máquina virtual podría ser capaz de explotar esta vulnerabilidad para filtrar memoria de los procesos que se comunican con vSockets. Listado de referencias VMSA-2025-0013: VMware ESXi, Workstation, Fusion, and Tools updates address multiple vulnerabilities (CVE-2025-41236, CVE-2025-41237, CVE-2025-41238, CVE-2025-41239)
Recursos afectados: field–name-title field–type-string field–label-hidden>Múltiples vulnerabilidades en productos de VMwareMié, 16/07/2025 – 10:59
- VMware Cloud Foundation
- VMware vSphere Foundation
- VMware ESXi
- VMware Workstation Pro
- VMware Fusion
- VMware Tools
- VMware Telco Cloud Platform
- VMware Telco Cloud Infrastructure
Para consultar la relación correcta de versiones afectadas y CVE que afectan a cada producto, consultar el enlace de las referencias.
