Actualizaciones de VMware solucionan múltiples vulnerabilidades

Crítica Alerta 5

Introducción

VMware recibió informes privados sobre múltiples vulnerabilidades en VMware ESXi, Workstation y Fusion. Hay actualizaciones disponibles para solucionar estas vulnerabilidades en los productos VMware afectados. 

Productos afectados

  • VMware ESXi
  • VMware Workstation Pro/Player (estación de trabajo)
  • VMware Fusión
  • Fundación VMware Cloud
  • Plataforma de nube para telecomunicaciones de VMware

Vulnerabilidad de desbordamiento de pila de VMCI (CVE-2025-22224) 

Descripción: 
VMware ESXi  y Workstation  contienen una vulnerabilidad TOCTOU (Time-of-Check Time-of-Use) que provoca una escritura fuera de los límites. VMware ha evaluado la gravedad de este problema como crítica,  con  una puntuación base máxima de CVSSv3 de 9,3 .

Vectores de ataque conocidos:
un actor malintencionado con privilegios administrativos locales en una máquina virtual puede aprovechar este problema para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. 

Resolución: 
Para remediar CVE-2025-22224, aplique los parches enumerados en la columna “Versión corregida” de la “Matriz de respuestas” que se encuentra a continuación.

Vulnerabilidad de escritura arbitraria en VMware ESXi (CVE-2025-22225) 

Descripción: 
VMware ESXi contiene una vulnerabilidad de escritura arbitraria. VMware ha evaluado la gravedad de este problema como  importante,  con una puntuación base CVSSv3 máxima de 8,2 .

Vectores de ataque conocidos:
Un actor malicioso con privilegios dentro del proceso VMX puede desencadenar una escritura arbitraria en el kernel que conduzca a un escape del entorno protegido.

Resolución: 
Para remediar CVE-2025-22225, aplique los parches enumerados en la columna “Versión corregida” de la “Matriz de respuestas” que se encuentra a continuación.

Vulnerabilidad de divulgación de información de HGFS (CVE-2025-22226)

Descripción: 
VMware ESXi, Workstation y Fusion contienen una vulnerabilidad de divulgación de información debido a una lectura fuera de límites en HGFS. VMware ha evaluado la gravedad de este problema como  importante,  con una puntuación base máxima de CVSSv3 de 7,1 .

Vectores de ataque conocidos:
un actor malintencionado con privilegios administrativos en una máquina virtual podría aprovechar este problema para filtrar memoria del proceso vmx. 

Resolución: 
Para remediar CVE-2025-22226, aplique los parches enumerados en la columna “Versión corregida” de la “Matriz de respuestas” que se encuentra a continuación.

Fuente: Broadcom

Publicaciones relacionadas:
Inscríbete para estar al día
Comparte esta alerta de seguridad:

Deja un comentario

Calendario de la Ciberseguridad /25

¡Pídelo gratis!
LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Accede al workshop

Servicio de avisos

Recibe las alertas más importantes
Infordisa / Security Operations Center
Powered by  Cumplimiento de cookies de GDPR
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.