Broadcom ha emitido un aviso de seguridad que aborda cuatro vulnerabilidades recientemente descubiertas en varios productos de VMware, como ESXi, vCenter Server, Workstation Pro y Fusion. Las fallas, identificadas como CVE-2025-41225, CVE-2025-41226, CVE-2025-41227 y CVE-2025-41228, abarcan desde la ejecución de comandos hasta la denegación de servicio y el XSS reflejado, lo que plantea una amplia gama de riesgos para la infraestructura virtualizada.
Ejecución de comandos autenticados en vCenter Server (CVE-2025-41225). Con una puntuación base de 8,8 (Importante) en CVSSv3, esta vulnerabilidad permite a un atacante con privilegios ejecutar comandos arbitrarios en vCenter Server: "Un agente malicioso con privilegios para crear o modificar alarmas y ejecutar scripts podría explotar este problema para ejecutar comandos arbitrarios en vCenter Server", explica el aviso. Hay parches disponibles para las versiones 7.0 y 8.0 de vCenter.
Denegación de servicio en operaciones de invitado (CVE-2025-41226). Esta vulnerabilidad de gravedad moderada (CVSS 6.8) reside en ESXi. "Un agente malicioso con privilegios de operación de invitado en una máquina virtual podría desencadenar este problema y crear una condición de denegación de servicio en las máquinas virtuales invitadas con VMware Tools en ejecución y las operaciones de invitado habilitadas".
Agotamiento de la memoria del host que provoca un ataque de denegación de servicio (CVE-2025-41227) . Este error, que afecta a ESXi, Workstation y Fusion, puede ser activado por un usuario con pocos privilegios desde un sistema operativo invitado. "Un agente malicioso con privilegios no administrativos dentro de un sistema operativo invitado podría explotar este problema agotando la memoria del proceso del host…". Con una puntuación CVSS de 5,5, aún justifica la aplicación de un parche debido a su potencial para desestabilizar los hosts de virtualización.
Cross-site Scripting (XSS) reflejadas en vCenter/ESXi (CVE-2025-41228). Con una puntuación CVSS de 4,3, esta vulnerabilidad web surge de una validación de entrada incorrecta. "Un agente malicioso con acceso de red a la página de inicio de sesión de ciertos hosts ESXi o rutas URL de vCenter Server podría explotar este problema para robar cookies o redirigir a sitios web maliciosos".
Productos afectados
- VMware ESXi 7.0 and 8.0
- VMware vCenter Server 7.0 and 8.0
- VMware Cloud Foundation
- VMware Workstation 17.x
- VMware Fusion 13.x
- VMware Telco Cloud Platform and Infrastructure
- ESXi 8.0 U3se-24659227 and 7.0 U3sv-24723868
- vCenter Server 8.0 U3e and 7.0 U3v
- Workstation 17.6.3 and Fusion 13.6.3