Sårbarheter i VMware-produkter utnyttjas aktivt
VMware rapporterar om flera sårbarheter i produkterna ESXi, Workstation och Fusion, varav en klassas som kritisk och en som allvarlig. Enligt Broadcom utnyttjas de aktivt. Om sårbarheterna kopplas ihop av en angripare med privilegierad administratörs- eller root-åtkomst är det möjligt att kringgå sandlådan i den virtuella maskinen (en så kallad “VM Escape”). [1, 2, 3]
Den kritiska sårbarheten, CVE-2025-22224, påverkar VMware ESXi och Workstation och har fått CVSS-klassning 9,3 på den tiogradiga skalan. En säkerhetsbrist i TOCTOU (Time-of-Check Time-of-Use) kan leda till att applikations- eller systemdata ändras på ett felaktigt eller otillåtet sätt. Om sårbarheten utnyttjas kan det medföra att en angripare kan köra godtycklig kod i sårbara system genom att köra den virtuella maskinens VMX-process på värdenheten.
Även sårbarheten CVE-2025-22225 (CVSS-klassning 8,2) påverkar VMware ESXi. Det är en skrivsårbarhet som innebär att en angripare med privilegier inom VMX-processen kan trigga en godtycklig skrivning som kan orsaka sandlådeproblem.
Sårbarheten CVE-2025-22226 har något lägre CVSS_klassning (7,1) och påverkar VMware ESXi, Workstation och Fusion. Sårbarheten riskerar att orsaka informationsavslöjande på grund av en out-of-bound-läsning i Host Guest File System-funktionen. En angripare med administratörsbehörighet till en virtuell maskin kan utnyttja sårbarheten för att på så sätt läcka minne från VMX-processen.
Uppdateringar som rättar sårbarheterna finns tillgängliga.
Påverkade produkter
- VMware ESXi 8.0
- VMware ESXi 7.0
- VMware Workstation 17.x
- VMware Fusion 13.x
- VMware Cloud Foundation 5.x
- VMware Cloud Foundation 4.5.x
- VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
- VMware Telco Cloud Infrastructure 3.x, 2.x
Rekommendationer
CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt och följa leverantörens anvisningar i övrigt.
Källor
[4] https://nvd.nist.gov/vuln/detail/CVE-2025-22224