精诚智能票单解决方案,赋能企业 IT 服务智慧升级
2025-05-30
News and information
01
VMware 发布重要安全更新(VMSA-2025-0010)
以下是漏洞详情:
02
受影响产品列表
VMware ESXi
VMware vCenter Server
VMware Workstation Pro
VMware Fusion
VMware Cloud Foundation
VMware Telco Cloud Platform
VMware Telco Cloud Infrastructure
风险提示:部分漏洞可能被远程攻击者利用,建议尽快评估并部署官方补丁,防止潜在安全威胁。
03
漏洞详细分析
1、CVE-2025-41225
类型:vCenter Server 包含一个经过身份验证的命令执行漏洞
评分:CVSS 8.8(重要)
攻击条件:具有创建或修改警报和运行脚本操作权限的恶意行为者可能会利用此问题在vCenter Server上运行任意命令。
影响:可执行任意命令
修复方式:升级至下表中已修复版本
致谢:Oliver Bachtik & Bert De Bruijn
2、CVE-2025-41226
类型:VMware ESXi 包含一个在执行客户机操作时发生的拒绝服务漏洞
产品:VMware ESXi
评分:CVSS 6.8(中等)
攻击条件:已通过 vCenter Server 或 ESXi 身份验证的、拥有虚拟机客户机操作权限的恶意行为者可能会触发此问题,导致运行 VMware Tools 并启用客户机操作的客户机虚拟机出现拒绝服务的情况。
影响:影响启用客户机操作的虚机服务可用性
致谢:Tom Jøran Sønstebyseter Rønning & Uros Orozel
3、CVE-2025-41227
类型:客户机操作系统触发DoS,VMware ESXi、Workstation 和 Fusion 因某些客户机选项而存在拒绝服务漏洞
产品:ESXi、Workstation、Fusion
评分:CVSS 5.5(中等)
攻击条件:客户机操作系统中拥有非管理员权限的恶意攻击者可能能够利用此问题,通过耗尽主机进程的内存,导致拒绝服务攻击。
影响:内存耗尽导致宿主机服务中断
4、CVE-2025-41228
类型:VMware ESXi 和 vCenter Server 因输入验证不当而存在反射型跨站点脚本漏洞
产品:ESXi、vCenter Server
评分:CVSS 4.3(中等)
攻击条件:具有对某些ESXi主机或vCenter Server URL路径的登录页面进行网络访问的恶意行为者可能会利用此问题窃取cookie或重定向到恶意网站。
影响:可能被利用盗取Cookie或进行钓鱼跳转
04
修复版本建议
已知可修复的版本
lvCenter Server 8.0<8.0 U3e
lvCenter Server 7.0<7.0 U3v
lVMware ESXi 8.0<ESXi80U3se-24659227
lVMware ESXi 7.0<ESXi70U3sv-24723868
05
小结
这次漏洞集中在命令执行、拒绝服务和 XSS 攻击三类问题,虽然没有零点远程代码执行 (RCE) 漏洞,但仍具高度风险,特别是对大型环境中的 vCenter 管理节点。
建议:
尽快检查版本并打补丁
限制脚本操作权限
加强 Web 管理端口访问控制
日常多关注 VMSA 安全公告
06
参考文献
修复版本和发行说明:
②https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/vcenter-server-update-and-patch-release-notes/vsphere-vcenter-server-80u3e-release-notes.html
2、VMware vCenter Server 7.0 U3v
下载和文档:
①https://support.broadcom.com/web/ecx/solutiondetails?patchId=5849
3、VMware ESXi 8.0 ESXi80U3se-24659227
下载和文档:
①https://support.broadcom.com/web/ecx/solutiondetails?patchId=5825
4、VMware ESXi 7.0 ESXi70U3sv-24723868
下载和文档:
①https://support.broadcom.com/web/ecx/solutiondetails?patchId=5848
5、VMware Workstation 17.6.3
下载和文档:
①https://support.broadcom.com/group/ecx/productfiles?subFamily=VMware%20Workstation%20Pro&displayGroup=VMware%20Workstation%20Pro%2017.0%20for%20Windows&release=17.6.3&os=&servicePk=undefined&language=EN&
freeDownloads=true
③https://techdocs.broadcom.com/us/en/vmware-cis/desktop-hypervisors/workstation-pro/17-0/release-notes/vmware-workstation-1763-pro-release-notes.html
6、VMware Fusion 13.6.3
下载和文档:
①https://support.broadcom.com/group/ecx/productfiles?subFamily=VMware%20Fusion&displayGroup=VMware%20Fusion%2013&release=13.6.3&os=&servicePk=undefined&language=EN&freeDownloads=true
7、知识库文章
Cloud Foundation 5.x/4.5.x:
https://knowledge.broadcom.com/external/article?legacyId=88287
