Synthèse
VMware a publié des mises à jour de sécurité pour corriger 3 vulnérabilités, dont l’une est classée « critique », dans ses produits hyperviseurs ESXi, Workstation et Fusion.
Remarque : CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226 sont activement exploités en ligne.
Risque
Impact estimé de la vulnérabilité sur la communauté cible : critique (78,58)
Typologie
- Arbitrary Code Execution
- Information Leakage
- Security Restrictions Bypass
Produits et/ou versions concernés
- Mise à jour 3D d’ESXi 8.0, versions antérieures à ESXi80U3d-24585383
- Mise à jour 2d d’ESXi 8.0, versions antérieures à ESXi80U2d-24585300
- ESXi 7.0, versions antérieures à ESXi70U3s-24585291
- Poste de travail 17.x, versions antérieures à 17.6.3
- Fusion 13.x, versions antérieures à 13.6.3
- Cloud Foundation 5.x, antérieur à ESXi80U3d-24585383 (patch asynchrone)
- Cloud Foundation 4.5.x, antérieur à ESXi70U3s-24585291 (patch asynchrone)
- Telco Cloud Platform 5.x, 4.x, 3.x, 2.x, versions antérieures au correctif KB389385
- Telco Cloud Infrastructure 3.x et 2.x, versions antérieures à fixKB389385
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé d’appliquer les mesures d’atténuation disponibles en suivant les conseils du bulletin de sécurité dans la section Références.
Références
1Cette estimation est réalisée en tenant compte de plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.