K-iS Security Advisory 2025-007 – VMware-Sicherheitslücke in VMware ESXi, Workstation, Fusion und Tools

VMware hat mit VMSA-2025-0013 auf eine Sicherheitslücke hingewiesen, die die VMware-Produkte ESXi, Fusion, Workstation und Tools betrifft.

Mit dem aktuellen Patch werden drei Sicherheitslücken der Stufe CVSS 9.3 (Risiko „kritisch“) geschlossen:

CVE-2025-41236: Angreifer können in VMware ESXi, Tools und Fusion mit Admin-Rechten in einer VM mit VMXNET3-Netzwerkadapter einen Integer-Überlauf provozieren und so Code im Host-System ausführen.

CVE-2025-41237: Angreifer können in VMware ESXi, Tools und Fusion einen Integer-Unterlauf im VMCI-Code (Virtual Machine Communication Interface) auslösen und Schreibzugriffe außerhalb vorgesehener Speicherbereiche erhalten. Hier kann Code mittels des VMX-Prozesses auf dem Host ausgeführt werden.

CVE-2025-41238: Betroffen ist der PVSCSI-Controller der Produkte ESXi, Fusion und Workstation. Admins können einen Heap-basierten Pufferüberlauf provozieren und so außerhalb vorgesehener Speicherbereiche schreiben. Auch hier kann über den VMX-Prozess Code auf dem Host ausgeführt werden.

Betroffene Versionen:

  • ESXi 7.0 <ESXi70U3w-24784741
  • ESXi 8.0 <ESXi80U2e-24789317
  • ESXi 8.0 <ESXi80U3f-24784735
  • Workstation 17.x <17.6.4
  • Fusion 13.x ≤13.6.4
  • Telco Cloud Infrastructure 3.x, 2.x
  • Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
  • Cloud Foundation 5.x, 4.5.x

Handlungsempfehlung:

Aktuellste Sicherheitsupdates der Produkte:

  • VMware Cloud Foundation
  • VMware vSphere Foundation
  • VMware ESXi
  • VMware Workstation Pro
  • VMware Fusion
  • VMware Tools
  • VMware Telco Cloud Platform
  • VMware Telco Cloud Infrastructure

Quellen:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877 (16.07.2025)
https://www.heise.de/news/VMware-stopft-teils-kritische-Sicherheitsluecken-10489531.html (16.07.2025)

Gerne unterstützen wir Sie bei der Prüfung Ihrer Systeme und der Umsetzung der entsprechenden Maßnahmen. Melden Sie sich dazu bitte bei unserem Support und vereinbaren Sie einen zeitnahen Termin.

Sollten die betroffenen Systeme Teil eines Managed Service-Vertrags sein, wird dazu automatisch ein Ticket erstellt, und wir setzen uns proaktiv mit Ihnen in Verbindung.

Sollten Sie die betroffenen Produkte als Service unserer K-loud nutzen, müssen Sie sich in diesem Fall um nichts mehr kümmern, die notwendigen Anpassungen werden von uns vorgenommen.

Zentraler Support der K-iS Systemhaus Unternehmensgruppe:
support@k-is.com| +49 271 31370-30 (D-Siegen) | +49 6761 9321-55 (D-Simmern)
+49 7681 474098-8 (D-Südbaden) | +41-55-536-1020 (Schweiz)
+43 662 202299-8 (Österreich)