Vulnerabilidades en VMware ESXi, Workstation, Fusion y Tools

25/07/2025 Noticias 0

Broadcom ha publicado actualizaciones de seguridad de VMware ESXi, Workstation, Fusion y Tools para cuatro vulnerabilidades que podrían permitir a actores maliciosos lograr la ejecución de código arbitrario en el sistema afectado.

Productos afectados

  • VMware Cloud Foundation
  • VMware vSphere Foundation
  • VMware ESXi
  • VMware Workstation Pro
  • VMware Fusion
  • VMware Tools
  • VMware Telco Cloud Platform
  • VMware Telco Cloud Infrastructure

Versiones anteriores a la última.

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-41236: con una puntuación de 9.3 en CVSS v3.1. Existe una vulnerabilidad de  desbordamiento de enteros en el adaptador de red virtual VMXNET3. Un actor malicioso con privilegios de administrador local en una máquina virtual con un adaptador de red virtual VMXNET3 podría aprovechar esta vulnerabilidad para ejecutar código en el host.

CVE-2025-41237: con una puntuación de 9.3 en CVSS v3.1. Existe una vulnerabilidad de  subdesbordamiento de enteros en VMCI (Interfaz de Comunicación de Máquina Virtual) que podría provocar una escritura fuera de los límites. Un actor malicioso con privilegios de administrador local en una máquina virtual podría aprovechar esta vulnerabilidad para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host.

CVE-2025-41238: con una puntuación de 9.3 en CVSS v3.1. Existe una vulnerabilidad de  desbordamiento de pila en la controladora PVSCSI (SCSI paravirtualizada) que podría provocar una escritura fuera de límites. Un actor malicioso con privilegios de administrador local en una máquina virtual podría aprovechar esta vulnerabilidad para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://nvd.nist.gov/vuln/detail/CVE-2025-41236
  • https://nvd.nist.gov/vuln/detail/CVE-2025-41237
  • https://nvd.nist.gov/vuln/detail/CVE-2025-41238
  • https://nvd.nist.gov/vuln/detail/CVE-2025-41239
  • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877