【风险通告】VMware vCenter存在命令执行漏洞（CVE-2025-41225）

安恒研究院 安恒信息CERT 2025-05-22 09:55

漏洞概述
漏洞名称	VMware vCenter存在命令执行漏洞（CVE-2025-41225）
安恒CERT评级	2级	CVSS3.1评分	8.8
CVE编号	CVE-2025-41225	CNVD编号	未分配
CNNVD编号	未分配	安恒CERT编号	DM-202505-002950
POC情况	未发现	EXP情况	未发现
在野利用	未发现	研究情况	分析中
危害描述	VMware vCenter存在命令执行漏洞（CVE-2025-41225），具有创建或修改告警和运行脚本操作权限的攻击者可以利用该漏洞在vCenter Server上执行任意命令。

该产
品主要使用客户行业分布广泛，漏洞危害性高，
建议客户尽快做好自查及防护。

漏洞信息

vCenter Server是VMware的集中管理平台，允许管理员从单个控制台管理和控制ESXi主机及其虚拟机。

漏洞描述

漏洞危害等级：
高危

漏洞类型：
命令执行

影响范围

影响版本：
vCenter Server 7.0

vCenter Server 8.0

VMware Cloud Foundation (vCenter) 4.5.x

VMware Cloud Foundation (vCenter) 5.x

VMware Telco Cloud Platform (vCenter) 2.x、3.x、4.x、5.x

VMware Telco Cloud Infrastructure (vCenter) 3.x

VMware Telco Cloud Infrastructure (vCenter) 2.x

安全版本：
vCenter Server 7.0:7.0 U3v

vCenter Server 8.0:8.0 U3e

VMware Cloud Foundation (vCenter) 4.5.x:Async patch to 7.0 U3v

VMware Cloud Foundation (vCenter) 5.x:Async patch to 8.0 U3e

VMware Telco Cloud Platform (vCenter) 2.x、3.x、4.x、5.x:8.0 U3e

VMware Telco Cloud Infrastructure (vCenter) 2.x:7.0 U3v

VMware Telco Cloud Infrastructure (vCenter) 3.x: 8.0 U3e

CVSS向量

访问途径（AV）：网络

攻击复杂度（AC）：低

所需权限（PR）：低

用户交互（UI）：不需要用户交互

影响范围 （S）：
不
变

机密性影响 （C）：高

完整性影响 （l）：高

可用性影响 （A）：高

修复方案

官方修复方案：

官方已发布修复方案，受影响的用户建议及时更新至对应安全版本。

官方链接：

https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/vcenter-server-update-and-patch-release-notes.html

参考资料

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25717

技术支持

如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。