05/12/2025
IT-Connect » Actualités » Actu Cybersécurité » VMware ESXi et Workstation : des failles permettent l’exécution de code sur l’hôte depuis une VM

Failles VMware - Juillet 2025 - VMSA-2025-0013
Actu Cybersécurité

VMware ESXi et Workstation : des failles permettent l’exécution de code sur l’hôte depuis une VM

Florian BURNEL 0 commentaire

Des produits phares de chez VMware sont affectés par plusieurs failles critiques et leur exploitation permet de s'échapper des machines virtuelles et de prendre le contrôle de l'hôte. Quels sont les produits affectés ? Comment se protéger ? Voici ce que l'on sait.

Le bulletin de sécurité de VMware, nommé VMSA-2025-0013, fait référence à 4 failles de sécurité découverte dans le cadre du concours de hacking Pwn2Own organisé par la Zero Day Initiative. Parmi ces vulnérabilités, 3 sont considérées comme critique.

CVE-2025-41236 : une faille dans les adaptateurs VMXNET3

La première faille de sécurité mentionnée par VMware dans son bulletin est une vulnérabilité critique associée à la référence CVE-2025-41236. Elle affecte l’adaptateur réseau virtuel de type VMXNET3, utilisé dans ses produits VMware ESXi, Workstation et Fusion. Il est à noter que cette faille a un score CVSSv3 de 9.3 sur 10.

En cause, une erreur de dépassement d’entier (integer overflow) dans le pilote VMXNET3. Si elle est exploitée par un attaquant disposant de droits administrateur sur une machine virtuelle, cette vulnérabilité pourrait permettre d’exécuter du code arbitraire directement sur l’hôte physique, compromettant ainsi toute l’infrastructure virtuelle. Autrement dit, cette vulnérabilité permet de s'évader de la machine virtuelle.

Précision importante : seules les machines virtuelles configurées avec un adaptateur VMXNET3 sont concernées. Les autres types d’adaptateurs ne sont pas vulnérables à cette faille.

CVE-2025-41237 : une faille touche le module VMCI

Cette seconde vulnérabilité, associée à la référence CVE-2025-41237 et à un score CVSSv3 de 9.3 sur 10, affecte le module VMCI (Virtual Machine Communication Interface). Cette vulnérabilité de type integer underflow conduit à une écriture hors des limites de la mémoire (out-of-bounds write). Elle aussi affecte les produits VMware ESXi, Workstation et Fusion.

Dans les faits, un attaquant disposant de droits administrateur au sein d'une machine virtuelle peut exploiter cette faille pour exécuter du code malveillant via le processus VMX de la machine virtuelle. Sur ESXi, l’exploitation reste confinée dans le bac à sable (sandbox) du processus VMX, mais sur Workstation et Fusion, l'impact est plus important. En effet, cette vulnérabilité pourrait permettre une exécution de code sur l’hôte local, ces derniers étant en général des postes de travail.

CVE-2025-41238 : une faille affecte le contrôleur PVSCSI

Une troisième vulnérabilité critique vient s’ajouter à la liste : la CVE-2025-41238, avec le même score CVSSv3 que les précédentes, à savoir 9.3 sur 10. Cette fois-ci, c'est le contrôleur PVSCSI (Paravirtualized SCSI), utilisé pour optimiser les performances de disque des machines virtuelles, qui est affecté.

Cette faille de type dépassement de tas (heap overflow) permet une écriture hors limites (out-of-bounds write). Les risques sont exactement les mêmes que pour la faille dans le module VMCI : exécution de code sur l'hôte physique à partir de la VM, de façon confinée dans la sandbox sur ESXi.

CVE-2025-41239 : une faille dans vSockets expose des données

Une quatrième et dernière faille de sécurité, associée à la référence CVE-2025-41239, affecte les produits VMware ESXi, Workstation, Fusion ainsi que VMware Tools. Moins critique que les autres vulnérabilités (score CVSSv3 de 7.1 sur 10), cette faille résulte de l’utilisation de mémoire non initialisée dans le composant vSockets, un mécanisme permettant la communication entre les machines virtuelles et leur hôte.

L'exploitation de cette vulnérabilité permettrait à un attaquant d'obtenir des informations issues d'autres processus utilisant vSockets. Là encore, l'attaquant doit disposer de privilèges administrateur sur la machine virtuelle pour tirer profit de cette faille de sécurité. Bien que cette vulnérabilité ne permette pas directement l’exécution de code, elle constitue un vecteur de fuite d’informations.

Comment se protéger ?

Broadcom a publié un ensemble de mises à jour de sécurité pour l'ensemble des produits concernés, à savoir : VMware Cloud Foundation, vSphere Foundation, ESXi, Workstation, Fusion, Telco Cloud Platform, et VMware Tools.

Nous pouvons notamment noter ces nouvelles versions :

  • VMware ESXi 8.0 Update 3f
  • VMware ESXi 8.0 Update 2e
  • VMware Workstation Pro 17.6.4
  • VMware Fusion 13.6.4
  • VMware Tools 13.0.1.0

Je vous encourage à consulter la matrice complète sur le site de VMware pour trouver le bon lien correspondant à votre version.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Ces extensions malveillantes pour VSCode ciblent les développeurs

Une nouvelle vague d’extensions malveillantes cible les développeurs sous Visual Studio Code !

Florian BURNEL 0
Cyberattaque Boeing LockBit Octobre 2023

Les cybercriminels de LockBit revendiquent une cyberattaque contre Boeing !

Florian BURNEL 0
Android - Patch Juillet 2023

Android – Patch de sécurité juillet 2023 : 46 vulnérabilités corrigées dont trois failles exploitées !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.