Après avoir publié plusieurs correctifs d’urgence concernant des failles zéro day en mars dernier, VMware remet le couvert avec la publication de mises à jour pour corriger quatre nouvelles failles de sécurité, dont trois critiques. Les vulnérabilités CVE-2025-41236, CVE-2025-41237 et CVE-2025-41238 sont d’une criticité de 9,3/10. Elles permettent à un attaquant disposant de privilèges administratifs d’exécuter du code sur une machine hôte, compromettant ainsi toute l’infrastructure virtuelle.
Plus en détails : la faille CVE-2025-41236 touche l’adaptateur réseau virtuel de type VMXNET3 qui est utilisé dans ESXi, Workstation et Fusion. La faille CVE-2025-41237 affecte le module VMCI (Virtual Machine Communication Interface), également utilisé dans ESXi, Workstation et Fusion. La vulnérabilité CVE-2025-41238 touche le contrôleur PVSCSI (Paravirtualized SCSI) utilisé pour optimiser les performances de disque des machines virtuelles. La quatrième faille, CVE-2025-41239, est moins critique (7,1/10) que les trois autres. Elle affecte l’outil Tools en plus de ESXi, Workstation et Fusion. Elle résulte de l’utilisation de mémoire non initialisée dans le composant vSockets, un mécanisme permettant aux machines virtuelles de communiquer avec leur hôte.
VMware précise dans son avis de sécurité du 15 juillet 2025 que ces quatre nouvelles vulnérabilités ont été découvertes dans le cadre d’un concours annuel de hacking éthique baptisé Pwn2Own.