| 風險等級: |
高度威脅 |
| 摘 要: |
弱點通告:VMware 發佈多項產品重大資安更新,建議管理者儘速評估更新! |
| 影響系統: |
vCenter Server 8.0 (含)以下版本vCenter Server 7.0 (含)以下版本VMware Workstation 17.6.2 (含)以下版本VMware Fusion13.6.2 (含)以下版本VMware Cloud Foundation5.2.1.1 (含)以下版本VMware ESXi 8.0 版本VMware ESXi 7.0 版本VMware Cloud Foundation (vCenter) 5.x/4.5.x 版本VMware Cloud Foundation (ESXi) 5.x/4.5.x 版本VMware Telco Cloud Platform (ESXi) 5.x/4.x/3.x/2.x 版本VMware Telco Cloud Infrastructure (ESXi) 3.x 版本VMware Telco Cloud Infrastructure (ESXi) 2.x 版本VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x 版本VMware Telco Cloud Infrastructure (vCenter) 3.x 版本VMware Telco Cloud Infrastructure (vCenter) 2.x 版本VMware Cloud Foundation 4.5.x 版本 |
| 解決辦法: |
(1)vCenter Server 8.0 (含)以下版本請更新至 8.0 U3e(含)以上版本
(2)vCenter Server 7.0 (含)以下版本請更新至 7.0 U3v(含)以上版本
(3)VMware Workstation 17.6.2 (含)以下版本請更新至 17.6.3 (含)以上版本
(4)VMware Fusion 13.6.2 (含)以下版本請更新至 13.6.3 (含)以上版本
(5)VMware Cloud Foundation 5.2.1.1 (含)以下版本請更新至 5.2.1.2 (含)以上版本
(6)VMware ESXi 8.0 版本請參考更新檔 ESXi80U3se-24659227
(7)VMware ESXi 7.0 版本請參考更新檔 ESXi70U3sv-24723868
(8)VMware Cloud Foundation (vCenter) 5.x/4.5.x 版本請參考更新檔 KB88287
(9)VMware Cloud Foundation (ESXi) 5.x/4.5.x 版本請參考更新檔 KB88287
(10)VMware Telco Cloud Platform (ESXi) 5.x/4.x/3.x/2.x 版本請參考更新檔 ESXi80U3se-24659227
(11)VMware Telco Cloud Infrastructure (ESXi) 3.x 版本請參考更新檔ESXi80U3se-24659227
(12)VMware Telco Cloud Infrastructure (ESXi) 2.x 版本請參考更新檔 ESXi70U3sv-24723868
(13)VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x 版本請參考更新檔 8.0 U3e
(14)VMware Telco Cloud Infrastructure (vCenter) 3.x 版本請參考更新檔 8.0 U3e
(15)VMware Telco Cloud Infrastructure (vCenter) 2.x 版本請參考更新檔 7.0 U3v
(16)VMware Cloud Foundation 4.5.x 版本請參考更新檔 KB398008 |
| 細節描述: |
VMware 近日針對旗下多項產品,包括 ESXi、vCenter Server、Workstation 等,發佈多個資安弱點修補。
CVE-2025-41225:CVSS 8.8
VMware vCenter Server 中存在一項認證後命令執行漏洞。此漏洞允許經身份驗證、取得特殊權限的攻擊者透過建立或竄改警示,執行任意系統指令,進而可能全面掌控受影響的伺服器。
CVE-2025-41226:CVSS 6.8
研究人員在 VMware ESXi、vCenter Server 發現一項拒絕服務(DoS)漏洞。攻擊者在虛擬機中觸發特定操作時,可能導致正在執行 VMware Tools的用戶端崩潰,影響使用者操作與系統穩定性。
CVE-2025-41227:CVSS 5.5
VMware ESXi、Workstation 和 Fusion 上發現一項拒絕服務(DoS)漏洞。當攻擊者在虛擬機內執行特定操作時,可能觸發實體主機資源異常耗用,導致主機進程無法回應或系統服務中斷。
CVE-2025-41228:CVSS 4.3
VMware ESXi、vCenter Server 的登入頁面存在一項反射型跨站腳本(XSS)漏洞。該漏洞源於輸入驗證不足,攻擊者可利用此漏洞誘導使用者點擊特製連結,進而竊取瀏覽器 Cookie 或將使用者導向惡意網站。
CVE-2025-41229:CVSS 8.2
VMware Cloud Foundation 中存在目錄遍歷(Directory traversal)漏洞。未經授權的遠端攻擊者可利用特製請求繞過檔案存取控制,進一步讀取或操作系統內部敏感檔案。
CVE-2025-41230:CVSS 7.5
此漏洞允許遠端攻擊者透過特定手法取得 VMware Cloud Foundation 中的敏感資訊,可能導致資訊洩露與進一步攻擊行動。
CVE-2025-41231:CVSS 7.3
在 VMware Cloud Foundation 中發現缺少授權檢查,攻擊者可藉此繞過權限檢查,執行原應受限的操作,危及系統完整性。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
iThome
Broadcom
Broadcom
|
| |
