VMware corrige falhas Zero-Day
18 de Julho de 2025

A VMware corrigiu quatro vulnerabilidades no VMware ESXi, Workstation, Fusion e Tools que foram exploradas como zero-days durante o concurso de hacking Pwn2Own Berlin 2025, em maio de 2025.

Três das falhas corrigidas têm uma classificação de severidade de 9,3, pois permitem que programas executados em uma máquina virtual convidada executem comandos no host.

Essas falhas são rastreadas como CVE-2025-41236 , CVE-2025-41237 e CVE-2025-41238 .

Essas falhas são descritas no aviso de segurança como:

CVE-2025-41236 : VMware ESXi, Workstation e Fusion contêm uma vulnerabilidade de overflow de inteiro no adaptador de rede virtual VMXNET3.

Nguyen Hoang Thach da STARLabs SG usou esta falha no Pwn2Own.
CVE-2025-41237 : VMware ESXi, Workstation e Fusion contêm um underflow de inteiro no VMCI (Virtual Machine Communication Interface) que leva a uma escrita fora dos limites.

Essa falha foi usada por Corentin BAYET da REverse Tactics no Pwn2Own.
CVE-2025-41238 : VMware ESXi, Workstation e Fusion contêm uma vulnerabilidade de overflow de heap no controlador PVSCSI (Paravirtualized SCSI) que leva a uma escrita fora dos limites.

Um ator malicioso com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar código como o processo VMX da máquina virtual que está sendo executado no host.

Thomas Bouzerar e Etienne Helluy-Lafont da Synacktiv usaram esta falha no Pwn2Own.

A quarta falha, rastreada como CVE-2025-41239 , recebeu uma classificação de 7,1 por ser uma divulgação de informação.

Também foi descoberta por Corentin BAYET da REverse Tactics, que a encadeou com o CVE-2025-41237 durante o concurso de hacking.

A VMware não forneceu nenhuma solução alternativa, e a única maneira de corrigir essas vulnerabilidades é instalar as novas versões do software.

Deve ser notado que o CVE-2025-41239 impacta o VMware Tools para Windows, que requer um processo de atualização diferente.

Essas vulnerabilidades foram demonstradas como zero-days durante o concurso de hacking Pwn2Own Berlin 2025, onde pesquisadores de segurança arrecadaram $1.078.750 após explorar 29 vulnerabilidades zero-day.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...