Broadcom a publié des mises à jour de sécurité pour corriger trois failles de sécurité activement exploitées dans les produits VMware ESXi, Workstation et Fusion qui pourraient conduire à l’exécution de code et à la divulgation d’informations.

La liste des vulnérabilités est la suivante :

• CVE-2025-22224 (score CVSS : 9,3) – Une vulnérabilité de type TOCTOU (Time-of-Check Time-of-Use) qui conduit à une écriture hors limites, qu’un acteur malveillant disposant de privilèges administratifs locaux sur une machine virtuelle pourrait exploiter pour exécuter du code en tant que processus VMX de la machine virtuelle exécuté sur l’hôte
• CVE-2025-22225 (score CVSS : 8,2) – Une vulnérabilité d’écriture arbitraire qu’un acteur malveillant disposant de privilèges au sein du processus VMX pourrait exploiter pour aboutir à une évasion du sandbox
• CVE-2025-22226 (score CVSS : 7,1) – Une vulnérabilité de divulgation d’informations due à une lecture hors limites dans HGFS qu’un acteur malveillant disposant de privilèges administratifs sur une machine virtuelle pourrait exploiter pour divulguer de la mémoire du processus vmx

Les lacunes affectent les versions ci-dessous –

• VMware ESXi 8.0 – Corrigé dans ESXi80U3d-24585383, ESXi80U2d-24585300
• VMware ESXi 7.0 – Corrigé dans ESXi70U3s-24585291
• VMware Workstation 17.x – Corrigé dans la version 17.6.3
• VMware Fusion 13.x – Corrigé dans la version 13.6.3
• VMware Cloud Foundation 5.x – Correctif asynchrone pour ESXi80U3d-24585383
• VMware Cloud Foundation 4.x – Correctif asynchrone pour ESXi70U3s-24585291
• VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x – Corrigé dans ESXi 7.0U3s, ESXi 8.0U2d et ESXi 8.0U3d
• VMware Telco Cloud Infrastructure 3.x, 2.x – Corrigé dans ESXi 7.0U3s

Dans une FAQ distincte, Broadcom a reconnu disposer d’« informations suggérant que l’exploitation de ces problèmes s’est produite « dans la nature », mais n’a pas précisé la nature des attaques ni l’identité des acteurs de la menace qui les ont utilisées comme armes ».

Le fournisseur de services de virtualisation a remercié le centre de renseignement sur les menaces de Microsoft pour avoir découvert et signalé les bugs. Compte tenu de l’exploitation active, il est essentiel que les utilisateurs appliquent les derniers correctifs pour une protection optimale.