VMware a corrigé quatre vulnérabilités dans VMware ESXi, Workstation, Fusion et Tools qui ont été exploitées comme des jours zéro lors du concours de piratage Pwn2Own Berlin 2025 en mai 2025.
Trois des failles corrigées ont un indice de gravité de 9,3, car elles permettent aux programmes exécutés dans une machine virtuelle invitée d’exécuter des commandes sur l’hôte. Ces failles sont suivies sous les noms CVE-2025-41236, CVE-2025-41237 et CVE-2025-41238.
Ces failles sont décrites dans l’avis de sécurité comme suit:
- CVE-2025-41236: VMware ESXi, Workstation et Fusion contiennent une vulnérabilité de débordement d’entier dans la carte réseau virtuelle VMXNET3. Nguyen Hoang Thach de Starlabs SG a utilisé cette faille à Pwn2Own.
- CVE-2025-41237: VMware ESXi, Workstation et Fusion contiennent un dépassement d’entier dans VMCI (Interface de communication de machine virtuelle) qui entraîne une écriture hors limites. Cette faille a été utilisée par Corentin BAYET de Reverse Tactics chez Pwn2Own.
- CVE-2025-41238: VMware ESXi, Workstation et Fusion contiennent une vulnérabilité de débordement de tas dans le contrôleur PVSCSI (SCSI paravirtualisé) qui entraîne une écriture hors limites. Un acteur malveillant disposant de privilèges administratifs locaux sur une machine virtuelle peut exploiter ce problème pour exécuter du code en tant que processus VMX de la machine virtuelle s’exécutant sur l’hôte. Thomas Bouzerar et Etienne Helluy-Lafont de Synacktiv chez Pwn2Own ont utilisé cette faille.
La quatrième faille, identifiée sous le numéro CVE-2025-41239, a reçu une note de 7,1 car il s’agit d’une divulgation d’informations. Il a également été découvert par Corentin BAYET de Reverse Tactics, qui a enchaîné avec CVE-2025-41237 lors du concours de piratage.
VMware n’a fourni aucune solution de contournement, et la seule façon de corriger ces vulnérabilités est d’installer les nouvelles versions du logiciel.
Il convient de noter que CVE-2025-41239 a un impact sur VMware Tools pour Windows, ce qui nécessite un processus de mise à niveau différent.
Ces vulnérabilités ont été démontrées comme des jours zéro lors du concours de piratage Pwn2Own Berlin 2025, où les chercheurs en sécurité ont collecté 1 078 750 $après avoir exploité 29 vulnérabilités zero-day.