Bulletins de Sécurité

VMware a publié un avis de sécurité sur des vulnérabilités critiques permettant de s’échapper des machines virtuelles et de prendre le contrôle de l’hôte.

- CVE-2025-41236 : une faille dans les adaptateurs VMXNET3 : elle permet à un attaquant ayant les droits administrateur sur une machine virtuelle d’exécuter du code sur la machine hôte. Seules les VMs utilisant VMXNET3 sont concernées. Le score CVSS est de 9.3, ce qui en fait une vulnérabilité critique.

- CVE-2025-41237 : une faille dans le module VMCI sur VMware ESXi, Workstation et Fusion. Elle exploite un integer underflow pouvant mener à une écriture hors mémoire. Un attaquant administrateur d’une machine virtuelle peut exécuter du code via le processus VMX. Sur Workstation et Fusion, cela peut aboutir à une exécution de code sur l’hôte local.

- CVE-2025-41238 : une faille qui touche le contrôleur PVSCSI sur VMware ESXi, Workstation et Fusion. Elle exploite un dépassement de tas (heap overflow) permettant une écriture hors limites. Un attaquant admininistrateur d’une machine virtuelle peut en tirer une exécution de code, limitée sur ESXi, mais plus critique sur Workstation et Fusion.

L’exploitation de l’une de ces vulnérabilités critiques (CVE-2025-41236, CVE-2025-41237 ou CVE-2025-41238) pourrait permettre à un attaquant, depuis une machine virtuelle, de s’échapper vers la machine hôte, compromettant l’infrastructure virtuelle, entraînant une exécution de code malveillant sur l’hôte, une prise de contrôle complète du système, une exfiltration de données sensibles ou la désactivation des mécanismes de sécurité.

A l’heure actuelle, aucune trace d’exploitation par des groupes d’attaquants ou d’exploits publiques n’a été remonté.Cependant, étant donné le risque associé et la criticité des équipements impactés, nous préconisons de corriger cette vulnérabilité sans plus attendre.