VMware ESXi 7.x < 7.0 Update 3w / 8.x < 8.0 Update 2e / 8.0 Update 3 < 8.0 Update 3f (VMSA-2025-0013)

critical Nessus Plugin ID 242168

概要

VMware ESXi 受到多個弱點影響。

說明

遠端主機上安裝的 VMware ESXi 版本是 7.0 Update 3w 之前的 7.x 版、8.0 Update 2e 之前的 8.x 版或 8.0 Update 3f 之前的 8.0 Update 3 版。因此,它受到 VMSA-2025-0013 公告中所提及的多個弱點影響:

- VMware ESXi、Workstation 和 Fusion 的 VMXNET3 虛擬網路介面卡中存在一個整數溢位弱點。(CVE-2025-41236)

- VMware ESXi、Workstation 和 Fusion 中的 VMCI (虛擬機器通訊介面) 存在整數反向溢位弱點,會導致超出邊界寫入。(CVE-2025-41237)

- VMware ESXi、Workstation 和 Fusion 在 PVSCSI (並行虛擬化 SCSI) 控制器中存在堆積溢位弱點,會導致超出邊界寫入。(CVE-2025-41238)

- VMware ESXi、Workstation、Fusion 和 VMware Tools 存在資訊洩漏弱點,這是因為在 vSockets 中使用未初始化的記憶體所致。(CVE-2025-41239)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 VMware ESXi 7.0 Update 3w、8.0 Update 2e 或 8.0 Update 3f 或更新版本。

另請參閱

http://www.nessus.org/u?98207605

Plugin 詳細資訊

嚴重性: Critical

ID: 242168

檔案名稱: vmware_esxi_vmsa-2025-0013.nasl

版本: 1.2

類型: remote

系列: Misc.

已發布: 2025/7/16

已更新: 2025/7/25

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 8.1

CVSS v2

風險因素: High

基本分數: 7.2

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-41236

CVSS v3

風險因素: Critical

基本分數: 9.3

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

弱點資訊

CPE: cpe:/o:vmware:esxi

必要的 KB 項目: Host/VMware/release, Host/VMware/vsphere

修補程式發佈日期: 2025/7/15

弱點發布日期: 2025/7/15

參考資訊

CVE: CVE-2025-41236, CVE-2025-41237, CVE-2025-41238, CVE-2025-41239

IAVA: 2025-A-0539