Broadcom telah mengeluarkan tambalan keamanan untuk mengatasi cacat keamanan tingkat tinggi pada alat VMware untuk Windows yang dapat menyebabkan bypass otentikasi.
Dilacak sebagai CVE-2025-22230, kerentanan dinilai 7,8 pada sistem penilaian kerentanan umum sepuluh poin (CVSS).
“Alat VMware untuk Windows berisi kerentanan bypass otentikasi karena kontrol akses yang tidak tepat,” kata Broadcom dalam peringatan yang dikeluarkan Selasa. “Aktor jahat dengan hak istimewa non-administratif pada Windows Guest VM dapat memperoleh kemampuan untuk melakukan operasi privilege tinggi tertentu di dalam VM itu.”
Dikreditkan dengan menemukan dan melaporkan kelemahannya adalah Sergey Bliznyuk dari perusahaan cybersecurity Rusia Teknologi Positif.
CVE-2025-22230 memengaruhi alat VMware untuk versi Windows 11.xx dan 12.xx telah diperbaiki dalam versi 12.5.1. Tidak ada solusi yang membahas masalah ini.
Crushftp mengungkapkan cacat baru
Perkembangan ini terjadi ketika CrushFTP telah memperingatkan pelanggan tentang kerentanan port HTTP (s) yang tidak autentikasi yang memengaruhi versi nakon 10 dan 11. Ini belum diberi pengidentifikasi CVE.
“Masalah ini memengaruhi CrushFTP V10/V11 tetapi tidak berfungsi jika Anda memiliki fungsi DMZ dari CrushFTP di tempat,” kata perusahaan itu. “Kerentanan itu diungkapkan secara bertanggung jawab, itu tidak digunakan secara aktif di alam liar yang kita ketahui, tidak ada rincian lebih lanjut yang akan diberikan saat ini.”
Menurut perincian yang dibagikan oleh perusahaan cybersecurity Rapid7, eksploitasi yang berhasil dari kerentanan dapat menyebabkan akses yang tidak otentikasi melalui port HTTP (S) yang terpapar.
Dengan kelemahan keamanan di VMware dan CrushFTP yang sebelumnya dieksploitasi oleh aktor jahat, penting bagi pengguna untuk bergerak cepat untuk menerapkan pembaruan sesegera mungkin.
