Broadcom ha emitido un aviso de seguridad que aborda cuatro vulnerabilidades recientemente descubiertas en varios productos de VMware, como ESXi, vCenter Server, Workstation Pro y Fusion. Las fallas, identificadas como CVE-2025-41225, CVE-2025-41226, CVE-2025-41227 y CVE-2025-41228, abarcan desde la ejecución de comandos hasta la denegación de servicio y el XSS reflejado, lo que plantea una amplia gama de riesgos en la infraestructura virtualizada.

Ejecución de comandos autenticados en vCenter Server (CVE-2025-41225)Calificada con un puntaje base CVSSv3 de 8.8 (Importante), esta 

vulnerabilidad permite que un atacante privilegiado ejecute comandos arbitrarios en vCenter Server:“ 

Un actor malicioso con privilegios para crear o modificar alarmas y ejecutar acciones de script puede aprovechar este problema para ejecutar comandos arbitrarios en vCenter Server”, 

explica el aviso .Hay parches disponibles para las versiones 7.0 y 8.0 de vCenter.

Denegación de servicio de operaciones de invitado (CVE-2025-41226)

Esta vulnerabilidad de gravedad moderada (CVSS 6.8) reside en ESXi. « 

Un agente malicioso con privilegios de operación de invitado en una máquina virtual podría desencadenar este problema y crear una condición de denegación de servicio en las máquinas virtuales invitadas con VMware Tools ejecutándose y las operaciones de invitado habilitadas ».

Agotamiento de la memoria del host que provoca denegación de servicio (CVE-2025-41227)Este error, que afecta a ESXi, Workstation y Fusion, puede ser activado por un usuario con pocos privilegios desde un sistema operativo invitado. « 

Un agente malicioso con privilegios no administrativos dentro de un sistema operativo invitado podría aprovechar este problema agotando la memoria del proceso host ...».Con una puntuación CVSS de 5,5, aún justifica la aplicación de parches debido al potencial de desestabilizar los hosts de virtualización.

Secuencias de comandos entre sitios reflejadas (XSS) en vCenter/ESXi (CVE-2025-41228)Con una calificación CVSS 4.3, esta vulnerabilidad web surge de una validación de entrada incorrecta. 

Un agente malicioso con acceso de red a la página de inicio de sesión de ciertas rutas URL de hosts ESXi o vCenter Server podría aprovechar este problema para robar cookies o redirigir a sitios web maliciosos .

Productos afectadosLos productos afectados incluyen:

• VMware ESXi 7.0 y 8.0

• VMware vCenter Server 7.0 y 8.0

• Fundación VMware Cloud

• Estación de trabajo VMware 17.x

• VMware Fusion 13.x

• Plataforma e infraestructura en la nube de VMware Telco

Disponibilidad del parcheSe han publicado correcciones en:

• ESXi 8.0 U3se-24659227 y 7.0 U3sv-24723868

• vCenter Server 8.0 U3e y 7.0 U3v

• Estación de trabajo 17.6.3 y Fusion 13.6.3

Se proporcionan enlaces a notas detalladas del parche e instrucciones de actualización en el portal de documentos técnicos oficiales de Broadcom .

Fuente: https://securityonline.info/broadcom-fixes-rce-dos-xss-in-vmware-esxi-vcenter-workstation/