通告编号:NS-2025-0030
| TAG: |
VMware vCenter Server、命令执行、CVE-2025-41225 |
| 漏洞危害: |
攻击者利用此漏洞,可实现命令执行。 |
| 版本: | 1.0 |
漏洞概述
近日,绿盟科技CERT监测到VMware发布安全公告,修复了VMware vCenter Server命令执行漏洞 (CVE-2025-41225);由于VMware vCenter Server中存在经过身份验证的命令执行漏洞,具有创建或修改alarms和运行脚本权限的攻击者可以利用此漏洞,在目标vCenter Server上执行任意命令。CVSS评分8.8,请相关用户尽快采取措施进行防护。
VMware是一家提供虚拟化解决方案的软件公司,它提供了多个虚拟化产品,vCenter Server是VMware公司的一种服务器管理解决方案,可帮助IT管理员通过单个控制台管理企业环境中的虚拟机和虚拟化主机。
参考链接:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25717
SEE MORE →
2影响范围
受影响版本
-
vCenter Server 8.0 < 8.0 U3e
-
vCenter Server 7.0 < 7.0 U3v
-
VMware Cloud Foundation (vCenter) = 5.x
-
VMware Cloud Foundation (vCenter) = 4.5.x
-
VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x < 8.0 U3e
-
VMware Telco Cloud Infrastructure (vCenter) 3.x < 8.0 U3e
-
VMware Telco Cloud Infrastructure (vCenter) 2.x < 7.0 U3v
注:其他已不受支持的旧版本也受影响
不受影响版本
-
vCenter Server 8.0 >= 8.0 U3e
-
vCenter Server 7.0 >= 7.0 U3v
-
VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x >= 8.0 U3e
-
VMware Telco Cloud Infrastructure (vCenter) 3.x >= 8.0 U3e
-
VMware Telco Cloud Infrastructure (vCenter) 2.x >= 7.0 U3v
3暴露面风险排查
3.1 云端检测
绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-41225漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查,在威胁发生前及时进行漏洞预警与闭环处置。
感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]安排详细的咨询交流。
3.2 工具排查
绿盟科技自动化渗透测试工具(EZ)支持VMware vCenter Server的指纹识别排查,用户可直接使用web模块进行扫描检测:
工具下载链接:https://github.com/m-sec-org/EZ/releases
新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:
4漏洞防护
4.1 官方升级
目前官方已发布更新修复了上述漏洞,建议受影响的用户及时安装进行防护:
|
产品版本 |
下载链接 |
操作文档 |
|
VMware vCenter Server 8.0 U3e |
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5826 |
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/vcenter-server-update-and-patch-release-notes/vsphere-vcenter-server-80u3e-release-notes.html |
|
VMware vCenter Server 7.0 U3v |
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5849 |
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/release-notes/vcenter-server-update-and-patch-releases/vsphere-vcenter-server-70u3v-release-notes.html |
|
VMware Cloud Foundation (vCenter) 4.5.x/5.x |
https://knowledge.broadcom.com/external/article?legacyId=88287 |
|
END
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文始发于微信公众号(绿盟科技CERT):【漏洞通告】VMware vCenter Server命令执行漏洞 (CVE-2025-41225)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论