Handlungsempfehlung zu VMware-Sicherheitslücke in VMware ESXi, Workstation, Fusion und Tools

VMware hat mit VMSA-2025-0013 auf eine Sicherheitslücke hingewiesen, die die VMware-Produkte ESXi, Fusion, Workstation und Tools betrifft.

Mit dem aktuellen Patch werden drei Sicherheitslücken der Stufe CVSS 9.3 (Risiko „kritisch“) geschlossen:

CVE-2025-41236: Angreifer können in VMware ESXi, Tools und Fusion mit Admin-Rechten in einer VM mit VMXNET3-Netzwerkadapter einen Integer-Überlauf provozieren und so Code im Host-System ausführen.

CVE-2025-41237: Angreifer können in VMware ESXi, Tools und Fusion einen Integer-Unterlauf im VMCI-Code (Virtual Machine Communication Interface) auslösen und Schreibzugriffe außerhalb vorgesehener Speicherbereiche erhalten. Hier kann Code mittels des VMX-Prozesses auf dem Host ausgeführt werden.

CVE-2025-41238: Betroffen ist der PVSCSI-Controller der Produkte ESXi, Fusion und Workstation. Admins können einen Heap-basierten Pufferüberlauf provozieren und so außerhalb vorgesehener Speicherbereiche schreiben. Auch hier kann über den VMX-Prozess Code auf dem Host ausgeführt werden.

Betroffene Versionen:

  • ESXi 7.0 <ESXi70U3w-24784741
  • ESXi 8.0 <ESXi80U2e-24789317
  • ESXi 8.0 <ESXi80U3f-24784735
  • Workstation 17.x <17.6.4
  • Fusion 13.x ≤13.6.4
  • Telco Cloud Infrastructure 3.x, 2.x
  • Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
  • Cloud Foundation 5.x, 4.5.x

Handlungsempfehlung:

Aktuellste Sicherheitsupdates der Produkte:

  • VMware Cloud Foundation
  • VMware vSphere Foundation
  • VMware ESXi
  • VMware Workstation Pro
  • VMware Fusion
  • VMware Tools
  • VMware Telco Cloud Platform
  • VMware Telco Cloud Infrastructure

Quellen:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877 (16.07.2025)
https://www.heise.de/news/VMware-stopft-teils-kritische-Sicherheitsluecken-10489531.html (16.07.2025)

Gerne unterstützen wir Sie bei der Prüfung Ihrer Systeme und der Umsetzung der entsprechenden Maßnahmen. Melden Sie sich dazu bitte bei unserem Support per Mail (support@systemhaus-vorort.de) oder telefonisch (+49 271 3388460-1) und vereinbaren einen zeitnahen Termin.

Sollten die betroffenen Systeme Teil eines Managed Service-Vertrags sein, wird dazu automatisch ein Ticket erstellt, und wir setzen uns proaktiv mit Ihnen in Verbindung.

Sollten Sie die betroffenen Produkte als Service unserer K-loud nutzen, müssen Sie sich in diesem Fall um nichts mehr kümmern, die notwendigen Anpassungen werden von uns vorgenommen.