Trzy nowe podatności w produktach VMware
W produktach VMware wykryto trzy nowe podatności, z których jedna została sklasyfikowana jako krytyczna (CVSS 9,3). Luki w zabezpieczeniach mogą umożliwić atakującym eskalację uprawnień i wykonanie złośliwego kodu na hoście z poziomu uruchomionej maszyny wirtualnej.
CSIRT CeZ ostrzega przed nowymi podatnościami w produktach VMware, w tym w ESXi, Workstation, Fusion oraz platformach chmurowych i telekomunikacyjnych. Luki zostały oznaczone jako CVE-2025-22224, CVE-2025-22225 i CVE-2025-22226. Producent udostępnił już poprawki, których jak najszybsze zastosowanie jest kluczowe dla bezpieczeństwa użytkowników.
Szczegóły podatności
Podatność CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
Wynik CVSS: 9,3 Critical (max)
Jak działa luka
Atakujący z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej może wykorzystać ten problem do wykonania kodu jako procesu VMX maszyny wirtualnej uruchomionego na hoście.
Produkty, których dotyczy problem
- VMware ESXi
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion
- VMware Cloud Foundation
- VMware Telco Cloud Platform
Wersje produktów, których dotyczą podatności CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
- VMware ESXi 7.0 i 8.0
- VMware Cloud Foundation 4.5.x i 5.x
- VMware Telco Cloud Platform 5.x, 4.x, 3.x i 2.x
- VMware Telco Cloud Infrastructure 3.x i 2.x
Produkty podatne na CVE-2025-22224 i CVE-2025-22226
- VMware Workstation 17.x
Produkty podatne na CVE-2025-22226
- VMware Fusion 13.x
Jak się ochronić? Działania zapobiegawcze
Zastosuj poprawki wymienione na stronie producenta.
Zalecamy regularne aktualizacje oprogramowania. Pomoże to minimalizować ryzyko ataku wynikające z ewentualnych podatności.