{"id":10885,"date":"2025-07-16T18:51:02","date_gmt":"2025-07-17T00:51:02","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=10885"},"modified":"2025-08-18T14:08:42","modified_gmt":"2025-08-18T20:08:42","slug":"alerta-2025-59-multiples-vulnerabilidades-en-productos-de-vmware","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-59-multiples-vulnerabilidades-en-productos-de-vmware\/","title":{"rendered":"Alerta 2025-59 M\u00faltiples vulnerabilidades en productos de VMware"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>VMware Cloud Foundation<\/li>\n\n\n\n<li>VMware vSphere Foundation<\/li>\n\n\n\n<li>VMware ESXi<\/li>\n\n\n\n<li>VMware Workstation Pro\u00a0<\/li>\n\n\n\n<li>VMware Fusion\u00a0<\/li>\n\n\n\n<li>VMware Tools<\/li>\n\n\n\n<li>VMware Telco Cloud Platform<\/li>\n\n\n\n<li>VMware Telco Cloud Infrastructure<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se han reportado varias vulnerabilidades cr\u00edticas en productos VMWare, 3 de severidad cr\u00edtica y 1 de severidad alta, cuya explotaci\u00f3n podr\u00eda permitir a un atacante ejecutar c\u00f3digo en el&nbsp;<em>host&nbsp;<\/em>o filtrar memoria de los procesos que se comunican con vSockets. Podemos rescastar <strong>CVE-2025-41236<\/strong> (CVSSv3 9.3) y <strong>CVE-2025-41237 (CVSSv3 9.3) <\/strong>que afectan a VMware ESXi, Workstation y Fusion, ambas de tipo <strong>Out-of-bounds Write <\/strong>(escritura fuera de los limites).<\/p>\n\n\n\n<p>A continuaci\u00f3n se listan las vulnerabilidades en detalle:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-41236<\/strong>: vulnerabilidad de desbordamiento de enteros. Un actor malintencionado con privilegios administrativos locales en una m\u00e1quina virtual con el adaptador de red virtual VMXNET3, puede aprovechar este problema para ejecutar c\u00f3digo en el\u00a0<em>host<\/em>. Los adaptadores virtuales que no son VMXNET3 no se ven afectados por este problema.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-41237<\/strong>: desbordamiento de enteros en VMCI (Virtual Machine Communication Interface) que conduce a una escritura fuera de l\u00edmites. Un actor malicioso con privilegios administrativos locales en una m\u00e1quina virtual, podr\u00eda explotar esta vulnerabilidad para ejecutar c\u00f3digo como proceso VMX de la m\u00e1quina virtual que se ejecuta en el\u00a0<em>host<\/em>. En ESXi, la explotaci\u00f3n est\u00e1 contenida dentro del\u00a0<em>sandbox\u00a0<\/em>VMX mientras que, en Workstation y Fusion, esto puede llevar a la ejecuci\u00f3n de c\u00f3digo en la m\u00e1quina donde est\u00e1n instalados.<\/li>\n\n\n\n<li><strong>CVE-2025-41238<\/strong>: vulnerabilidad de desbordamiento de mont\u00f3n en el controlador PVSCSI (Paravirtualized SCSI) que conduce a una escritura fuera de los l\u00edmites. Un actor malicioso con privilegios administrativos locales en una m\u00e1quina virtual, puede explotar este problema para ejecutar c\u00f3digo como proceso VMX de la m\u00e1quina virtual que se ejecuta en el\u00a0<em>host<\/em>. En ESXi, la explotaci\u00f3n est\u00e1 contenida dentro del\u00a0<em>sandbox\u00a0<\/em>VMX y s\u00f3lo es explotable con configuraciones no soportadas. En Workstation y Fusion, esto puede llevar a la ejecuci\u00f3n de c\u00f3digo en la m\u00e1quina donde est\u00e1n instalados.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-41239<\/strong>: VMware ESXi, Workstation, Fusion y VMware Tools contienen una vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n debido al uso de una memoria no inicializada en vSockets. Un actor malicioso con privilegios administrativos locales en una m\u00e1quina virtual podr\u00eda ser capaz de explotar esta vulnerabilidad para filtrar memoria de los procesos que se comunican con vSockets.<\/li>\n<\/ul>\n\n\n\n<p>Para informaci\u00f3n adicional sobre las vulnerabilidades puede dirigirse al siguiente enlace: https:\/\/github.com\/vmware\/vcf-security-and-compliance-guidelines\/tree\/main\/security-advisories\/vmsa-2025-0013<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>Se recomienda aplicar los parches publicados por el fabricante:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>VMware Cloud Foundation, VMware vSphere Foundation<ul><li>ESX<ul><li>Versi\u00f3n corregida <a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vcf\/vcf-9-0-and-later\/9-0\/release-notes\/maintenance-releases\/esx-update-and-patch-release-notes\/esx-9-0-0-0100.html\">ESXi-9.0.0.0100-24813472<\/a><\/li><\/ul><\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>VMWare Tools\n<ul class=\"wp-block-list\">\n<li>Versi\u00f3n corregida 13.0.1.0<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>VMware ESXi<ul><li><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/vsphere\/8-0\/release-notes\/esxi-update-and-patch-release-notes\/vsphere-esxi-80u3f-release-notes.html\">ESXi80U3f-24784735<\/a><\/li><\/ul><ul><li><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/vsphere\/8-0\/release-notes\/esxi-update-and-patch-release-notes\/vsphere-esxi-80u2e-release-notes.html\">ESXi80U2e-24789317<\/a><\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/vsphere\/7-0\/release-notes\/esxi-update-and-patch-release-notes\/vsphere-esxi-70u3w-release-notes.html\">ESXi70U3w-24784741<\/a><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>VMware Workstation\n<ul class=\"wp-block-list\">\n<li>Versi\u00f3n corregida 17.6.4<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>VMware Fusion\n<ul class=\"wp-block-list\">\n<li>Version corregida 13.6.4<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>VMware Cloud Foundation\u00a05.X\n<ul class=\"wp-block-list\">\n<li>Async patch to\u00a0<a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/vsphere\/8-0\/release-notes\/esxi-update-and-patch-release-notes\/vsphere-esxi-80u3f-release-notes.html\">ESXi80U3f-24784735<\/a><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>VMware Cloud Foundation\u00a04.5.x\n<ul class=\"wp-block-list\">\n<li>Async patch to\u00a0<a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/vsphere\/7-0\/release-notes\/esxi-update-and-patch-release-notes\/vsphere-esxi-70u3w-release-notes.html\">ESXi70U3w-24784741<\/a><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>VMware Telco Cloud Platform<ul><li>5.x, 4.x<ul><li>Versi\u00f3n Corregida <a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/vsphere\/8-0\/release-notes\/esxi-update-and-patch-release-notes\/vsphere-esxi-80u3f-release-notes.html\">ESXi80U3f-24784735<\/a>\u00a0\u00a0\u00a0\u00a0<\/li><\/ul><\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>3.x, 2.x\n<ul class=\"wp-block-list\">\n<li>Versi\u00f3n Corregida <a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/vsphere\/7-0\/release-notes\/esxi-update-and-patch-release-notes\/vsphere-esxi-70u3w-release-notes.html\">ESXi70U3w-24784741<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>VMware Tools<ul><li>13.x.x<ul><li>Versi\u00f3n corregida 13.0.1.0<\/li><\/ul><\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>12.x.x, 11.x.x\n<ul class=\"wp-block-list\">\n<li>Versi\u00f3n corregida \u00a012.5.3<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Para los enlaces de descarga y actualizaci\u00f3n puede consultar con el fabricante, para mas informaci\u00f3n sobre el proceso de patching, puede dirigirse al siguiente enlace:<\/p>\n\n\n\n<p><a href=\"https:\/\/support.broadcom.com\/web\/ecx\/support-content-notification\/-\/external\/content\/SecurityAdvisories\/0\/35877\">https:\/\/support.broadcom.com\/web\/ecx\/support-content-notification\/-\/external\/content\/SecurityAdvisories\/0\/35877<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/support.broadcom.com\/web\/ecx\/support-content-notification\/-\/external\/content\/SecurityAdvisories\/0\/35877\">https:\/\/support.broadcom.com\/web\/ecx\/support-content-notification\/-\/external\/content\/SecurityAdvisories\/0\/35877<\/a><\/li>\n\n\n\n<li>https:\/\/www.incibe.es\/incibe-cert\/alerta-temprana\/avisos\/multiples-vulnerabilidades-en-productos-de-vmware-1?sstc=u88504nl570192<\/li>\n<\/ul>\n","protected":false},"featured_media":6162,"template":"","class_list":["post-10885","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"59","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10885","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10885\/revisions"}],"predecessor-version":[{"id":10886,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10885\/revisions\/10886"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/6162"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10885"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}