Broadcom telah merilis pembaruan keamanan untuk mengatasi tiga kelemahan keamanan yang dieksploitasi secara aktif dalam VMware ESXi, workstation, dan produk fusi yang dapat menyebabkan eksekusi kode dan pengungkapan informasi.
Daftar kerentanan adalah sebagai berikut –
- CVE-2025-22224 (Skor CVSS: 9.3)-Kerentanan waktu penggunaan waktu-guna (TOCTOU) yang mengarah pada penulisan yang tidak terikat, yang merupakan aktor jahat dengan hak administratif lokal pada mesin virtual dapat mengeksploitasi untuk menjalankan kode sebagai proses VMX mesin virtual yang berjalan pada tuan rumah host dapat mengeksploitasi untuk mengeksploitasi kode sebagai mesin virtual VMX yang berjalan pada tuan rumah dapat dieksploitasi oleh mesin virtual yang berjalan pada tuan rumah host dapat dieksploitasi untuk mengeksploitasi kode VM Machine Virtual yang berjalan pada tuan rumah HOST dapat mengeksploitasi untuk mengeksekusi sebagai proses VMX mesin virtual yang berjalan pada tuan host The Host dapat mengeksploitas
- CVE-2025-22225 (Skor CVSS: 8.2) – Kerentanan tulis yang sewenang -wenang bahwa aktor jahat dengan hak istimewa dalam proses VMX dapat mengeksploitasi untuk menghasilkan pelarian kotak pasir
- CVE-2025-22226 (Skor CVSS: 7.1)-Kerentanan pengungkapan informasi karena dibaca di luar batas dalam HGFS bahwa aktor jahat dengan hak administratif ke mesin virtual dapat mengeksploitasi memori bocor dari proses VMX
Kekurangan berdampak pada versi di bawah ini –
- VMware ESXI 8.0-Tetap dalam ESXI80U3D-24585383, ESXI80U2D-24585300
- VMware ESXI 7.0 – ditetapkan dalam ESXI70U3S -24585291
- Vmware workstation 17.x – ditetapkan dalam 17.6.3
- VMware Fusion 13.x – ditetapkan dalam 13.6.3
- VMware Cloud Foundation 5.x – Async Patch ke ESXI80U3D -24585383
- VMware Cloud Foundation 4.x – Async Patch ke ESXI70U3S -24585291
- VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x – ditetapkan dalam ESXI 7.0U3S, ESXI 8.0U2D, dan ESXI 8.0U3D
- VMware Telco Cloud Infrastructure 3.x, 2.x – ditetapkan dalam ESXI 7.0U3S
Dalam FAQ terpisah, Broadcom mengakui bahwa ia memiliki “informasi untuk menyarankan bahwa eksploitasi masalah ini telah terjadi 'di alam liar,' tetapi tidak menguraikan sifat serangan atau identitas aktor ancaman yang telah mempersenjatai mereka.
Penyedia layanan virtualisasi mengkredit Microsoft Ancaman Intelijen untuk menemukan dan melaporkan bug. Mengingat eksploitasi aktif, penting bagi pengguna menerapkan tambalan terbaru untuk perlindungan optimal.
