【风险通告】VMware多产品存在高危漏洞

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzUzOTE2OTM5Mg==&mid=2247490488&idx=2&sn=6c76da8465450c3c79d79e472919de4f

【风险通告】VMware多产品存在高危漏洞

安恒研究院 安恒信息CERT 2025-07-16 10:05

【风险通告】VMware多产品存在高危漏洞

漏洞公告

近日,安恒信息CERT监测到VMware多产品存在高危漏洞,VMware ESXi、Workstation和Fusion的VMXNET3虚拟网络适配器中存在整数溢出漏洞(CVE-2025-41236)。VMware ESXi、Workstation和Fusion的VMCI中存在越界写入漏洞(CVE-2025-41237)。VMware ESXi、Workstation和Fusion的PVSCSI控制器中存在堆溢出漏洞,该漏洞会导致越界写入(CVE-2025-41238)。

该产品应用行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。

01

漏洞速览

CVE编号

漏洞名称

危害等级

处置等级
CVE-2025-41236

VMware多产品存在整数溢出漏洞(CVE-2025-41236)
严重

1级

CVE-2025-41237

VMware多产品存在越界写入漏洞(CVE-2025-41237)

严重

1级

CVE-2025-41238

VMware多产品存在堆溢出漏洞(CVE-2025-41238)

严重

1级

02

漏洞详情

1、VMware多产品存在整数溢出漏洞(CVE-2025-41236)

漏洞类型

越界写入

CVSS3.1评分

9.3

POC情况

未发现

EXP情况

未发现

在野利用情况

未发现

研究情况

分析中

影响版本

VMware Cloud Foundation ESX 9.0.0.0VMware vSphere Foundation ESX 9.0.0.0VMware ESXi 8.0、7.0VMware Workstation 17.xVMware Fusion 13.xVMware Cloud Foundation 5.x、4.5.xVMware Telco Cloud Platform 5.x、4.x、3.x、2.xVMware Telco Cloud Infrastructure 3.x、2.x

CVSS向量

访问途径(AV)

本地

攻击复杂度(AC)

所需权限(PR)

无需任何权限

用户交互(UI)

不需要用户交互

影响范围 (S)

改变

机密性影响 (C)

完整性影响 (I)

可用性影响 (A)

2、VMware多产品存在越界写入漏洞(CVE-2025-41237)

漏洞类型

越界写入

CVSS3.1 评分

9.3

POC情况

未发现

EXP情况

未发现

在野利用情况

未发现

研究情况

分析中

影响版本
VMware Cloud Foundation ESX 9.0.0.0VMware vSphere Foundation ESX 9.0.0.0VMware ESXi 8.0、7.0VMware Workstation 17.xVMware Fusion 13.xVMware Cloud Foundation 5.x、4.5.xVMware Telco Cloud Platform 5.x、4.x、3.x、2.xVMware Telco Cloud Infrastructure 3.x、2.x

CVSS向量

访问途径(AV)

本地

攻击复杂度(AC)

所需权限(PR)

无需任何权限

用户交互(UI)

不需要用户交互

影响范围 (S)

改变

机密性影响 (C)

完整性影响 (I)

可用性影响 (A)

3、VMware多产品存在堆溢出漏洞(CVE-2025-41238)

漏洞类型

越界写入

CVSS3.1 评分

9.3

POC情况

未发现

EXP情况

未发现

在野利用情况

未发现

研究情况

分析中

影响版本

VMware Cloud Foundation ESX 9.0.0.0VMware vSphere Foundation ESX 9.0.0.0VMware ESXi 8.0、7.0VMware Workstation 17.xVMware Fusion 13.xVMware Cloud Foundation 5.x、4.5.xVMware Telco Cloud Platform 5.x、4.x、3.x、2.xVMware Telco Cloud Infrastructure 3.x、2.x

CVSS向量

访问途径(AV)

本地

攻击复杂度(AC)

所需权限(PR)

无需任何权限

用户交互(UI)

不需要用户交互

影响范围 (S)

改变

机密性影响 (C)

完整性影响 (I)

可用性影响 (A)

03

修复方案

官方修复方案

官方已发布修复方案,受影响的用户建议更新至对应安全版本。

受影响产品
影响版本
修复版本
VMware Cloud Foundation ESX



9.0.0.0


ESXi-9.0.0.0100-24813472
VMware vSphere Foundation ESX
VMware ESXi
8.0
ESXi80U3f-24784735
7.0
ESXi70U3w-24784741
VMware Workstation
17.x
17.6.4
VMware Fusion
13.x
13.6.4
VMware Cloud Foundation
5.x、4.5.x
Async patch to ESXi80U3f-24784735
VMware Telco Cloud Platform
5.x、4.x
ESXi80U3f-24784735
VMware Telco Cloud Platform
3.x、2.x
ESXi70U3w-24784741
VMware Telco Cloud Infrastructure
3.x、2.x
ESXi70U3w-24784741

04

参考资料

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877

05

技术支持

如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。