Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
- Cloud Foundation et vSphere Foundation versions 9.0.0.0 sans le correctif ESXi-9.0.0.0100-24813472
- Cloud Foundation versions 4.5.x sans le correctif ESXi70U3w-24784741
- Cloud Foundation versions 5.x sans le correctif ESXi80U3f-24784735
- ESXI versions 7.0 sans le correctif ESXi70U3w-24784741
- ESXI versions 8.0 sans les correctifs ESXi80U3f-24784735 et ESXi80U2e-24789317
- Fusion versions 13.x antérieures à 13.6.4
- Telco Cloud Infrastructure versions 3.x et 2.x sans le correctif ESXi70U3w-24784741
- Telco Cloud Platform versions 3.x et 2.x sans le correctif ESXi70U3w-24784741
- VMware Tools versions 13.x.x antérieures à 13.0.1.0 pour Windows
- VMware Tools versions antérieures à 12.5.3 pour Windows
- Worstation versions 17.x antérieures à 17.6.4
Résumé
De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware 35877 du 15 juillet 2025 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877
- Référence CVE CVE-2025-41236 https://www.cve.org/CVERecord?id=CVE-2025-41236
- Référence CVE CVE-2025-41237 https://www.cve.org/CVERecord?id=CVE-2025-41237
- Référence CVE CVE-2025-41238 https://www.cve.org/CVERecord?id=CVE-2025-41238
- Référence CVE CVE-2025-41239 https://www.cve.org/CVERecord?id=CVE-2025-41239
