Microsoft Threat Intelligence Center ha reportado 3 vulnerabilidades: una de ellas de severidad crítica y 2 de severidad alta, que podrían permitir a un atacante salir del entorno aislado de la máquina virtual (VM) y acceder al hypervisor. Identificador INCIBE-2025-0121 5 – Crítica CVE-2025-22224: VMware ESXi y Workstation tienen una vulnerabilidad TOCTOU (Time-of-Check Time-of-Use; tiempo de comprobación, tiempo de uso) que provoca una escritura fuera de rango. Un usuario malicioso, con privilegios locales administrativos en una máquina virtual, puede explotar esta vulnerabilidad para ejecutar código como el proceso VMX de la máquina virtual del anfitrión (host). Esta vulnerabilidad tiene una severidad de 9.3.CVE-2025-22225: VMware ESXi presenta una vulnerabilidad de escritura arbitraria. Un actor malicioso con privilegios en el proceso VMX puede provocar una escritura arbitraria en el kernel, lo que podría derivar en una salida del entorno protegido. Esta vulnerabilidad tiene una severidad de 8.2.CVE-2025-22226: VMware ESXi, Workstation y Fusion presentan una vulnerabilidad de divulgación de información debido a una lectura fuera de límites en HGFS. Un usuario malicioso con privilegios administrativos en una máquina virtual podría aprovechar esta vulnerabilidad para filtrar memoria del proceso VMX. Esta vulnerabilidad tiene una severidad de 7.1.El fabricante informa de que estas vulnerabilidades podrían estar siendo explotadas actualmente. Listado de referencias Broadcom – VMSA-2025-0004: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities GitHub FAQ
Recursos afectados: field–name-title field–type-string field–label-hidden>Múltiples vulnerabilidades en VMwareMié, 05/03/2025 – 09:02 Aviso Recursos Afectados

  • VMware ESXi: versiones 7.0 y 8.0.
  • VMware Workstation Pro / Player (Workstation): versión 17.x.
  • VMware Fusion: versión 13.x.
  • VMware Cloud Foundation: versiones 4.5.x y 5.x.
  • VMware Telco Cloud Platform: versiones 5.x, 4.x, 3.x y 2.x.
  • VMware Telco Cloud Infrastructure: versiones 3.x y 2.x.