【漏洞预警】VMware VCenter Server 命令执行漏洞(CVE-2025-41225)
【漏洞预警】VMware VCenter Server 命令执行漏洞(CVE-2025-41225)
原创 聚焦网络安全情报 安全聚 2025-05-21 12:44
高
危
公
告
近日,安全聚实验室监测到 VMware VCenter Server 存在命令执行漏洞 ,编号为:
CVE-2025-41225,CVSS:8.8 具有创建或修改警报权限的攻击者通过构造恶意警报并绑定脚本动作,可在 vCenter Server 的管理平面中注入未授权指令,触发远程命令执行。
01 漏洞描述
VULNERABILITY DESC.
VMware vCenter Server是一款领先的虚拟化管理平台,为企业提供了集中管理和自动化虚拟化环境的功能。作为VMware vSphere虚拟化平台的核心组件,vCenter Server可以实现对虚拟机、存储、网络和其他虚拟化资源的全面管理和监控。它提供了高级的虚拟机管理功能、灵活的资源调度和性能优化工具,同时支持自动化任务和虚拟化环境的安全性管理。该漏洞在于权限校验不充分的情况下,允许具有创建或修改警报权限的认证用户通过脚本操作执行任意命令。
02 影响范围
IMPACT SCOPE
7.0 <= VMware vCenter Server < 7.0U3v
8.0 <= VMware vCenter Server < 8.0U3e
5.x <= VMware Cloud Foundation (vCenter) < 8.0U3e
4.5.x <= VMware Cloud Foundation (vCenter) < 7.0U3v
5.x/4.x/3.x/2.x <= VMware Telco Cloud Platform (vCenter) < 8.0 U3e
3.x <= VMware Telco Cloud Infrastructure (vCenter) < 8.0 U3e
2.x <= VMware Telco Cloud Infrastructure (vCenter) < 7.0 U3v
03 安全措施
SECURITY MEASURES
目前厂商已发布可更新版本,建议用户尽快更新至
VMware 产品的修复版本或更高的版本:
VMware vCenter Server >= 7.0U3v
VMware vCenter Server >= 8.0U3e
VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x >= 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 3.x >= 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x >= 7.0 U3v
下载链接:
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5826
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5849
04 参考链接
REFERENCE LINK
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25717
05 技术支持
TECHNICAL SUPPORT
长按识别二维码,关注 “安全聚”
公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。
联系我们
微信号:SecGat
关注安全聚,获取更多精彩文章。
END
HISTORY
/
往期推荐
【漏洞库支撑单位】成为CNNVD漏洞库支撑单位,助力网络安全!申请全流程解读,专业团队助您高效通过
【漏洞预警 | 已复现】Vite 任意文件读取漏洞(CVE-2025-31486)
【漏洞预警 | 已复现】Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)