Kwetsbaarheden in VMware producten aangepakt

Broadcom heeft een reeks beveiligingslekken in VMware ESXi, inclusief Workstation, Fusion, en vCenter Server verholpen. Deze kwetsbaarheden omvatten onder andere een command-executieprobleem in vCenter Server dat geauthenticeerde aanvallers in staat stelt om willekeurige code uit te voeren op de server. Daarnaast is er een denial-of-service kwetsbaarheid ontdekt in VMware ESXi. Deze kan door niet-administratieve gebruikers binnen een gastbesturingssysteem worden gebruikt om het geheugen van het hostproces uit te putten. Ook is er een gereflecteerde cross-site scripting kwetsbaarheid vastgesteld in VMware ESXi en vCenter Server. Deze ontstaat door onjuiste invoervalidatie, waardoor kwaadwillenden mogelijk in staat zijn om cookies te stelen of gebruikers om te leiden naar schadelijke websites.

Belangrijkste details

• Risico: Medium
• Impact: Hoog
• Publicatie: Gisteren
• Adviesnummer: NCSC-2025-0171

Aangetaste producten

De beveiligingslekken hebben invloed op meerdere producten en versies, zoals:

• VMware Cloud Foundation
• VMware ESXi
• VMware Fusion
• VMware Telco Cloud Platform (vCenter)
• VMware Workstation
• VMware vCenter Server

Betroffen versies: 7.0 – 8.0

Oplossingen

Broadcom heeft updates uitgebracht om deze kwetsbaarheden te verhelpen. Voor meer gedetailleerde informatie kun je terecht op de Broadcom supportpagina.

CVE-referenties

• CVE-2025-41225
• CVE-2025-41226
• CVE-2025-41227
• CVE-2025-41228

Dit beveiligingsadvies is met de grootste zorg samengesteld. Toch kunnen er geen rechten aan worden ontleend en het gebruik ervan is je eigen verantwoordelijkheid. Het NCSC en de Staat zijn niet aansprakelijk voor eventuele schade die voortvloeit uit het gebruik van de informatie. Dit advies valt onder Nederlands recht, eventuele geschillen worden behandeld door de bevoegde rechter in Den Haag.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.