VMware ESXi، Workstation و Fusion دارای یک آسیبپذیری از نوع heap-overflow در کنترلر PVSCSI (Paravirtualized SCSI) هستند که منجر به نوشتن خارج از محدوده میشود. یک عامل مخرب که دارای دسترسی مدیریتی محلی در یک ماشین مجازی است، میتواند از این آسیبپذیری سوءاستفاده کرده و کدی را بهعنوان فرآیند VMX ماشین مجازی که بر روی میزبان اجرا میشود، اجرا کند.
در ESXi، بهرهبرداری از این آسیبپذیری درون محیط ایزولهشده VMX محدود میماند و تنها در پیکربندیهایی قابل بهرهبرداری است که تحت پشتیبانی رسمی نیستند. اما در Workstation و Fusion، این آسیبپذیری ممکن است منجر به اجرای کد مخرب بر روی سیستم میزبان شود؛ یعنی همان سیستمی که نرمافزار Workstation یا Fusion روی آن نصب شده است.
محصولات آسیبپذیر
- VMware ESXi
- Workstation
- Fusion
توصیههای امنیتی
کاربران توصیه میشود برای رفع آسیبپذیری، وصلههای ارائهشده در لینکهای زیر را اعمال کنند:
-
VMware ESXi
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-80u3f-release-notes.html
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-80u2e-release-notes.html
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-70u3w-release-notes.html
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-41238
[2]https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdviso…
- 8