Broadcom lanzó anteayer, 15 de julio de 2025, un comunicado alertando a los usuarios de cuatro nuevas vulnerabilidades críticas que afectan a entornos de virtualización VMware (ESXi, Workstation, Fusion y Tools):

⚠️ CVE‑2025‑41236 – Integer Overflow en VMXNET3 (CVSS 9.3)

Afecta al adaptador de red virtual VMXNET3. Un atacante con privilegios administrativos dentro de una máquina virtual (VM) puede aprovechar este desbordamiento entero para ejecutar código arbitrario en el host. Solo las VMs usando VMXNET3 son vulnerables.

⚠️ CVE‑2025‑41237 – Integer Overflow en VMCI (CVSS 9.3)

Una vulnerabilidad de escritura fuera de límites (out-of-bounds write) en la interfaz VMCI puede permitir a un atacante con acceso local a la VM ejecutar código como proceso VMX en el host—impactando ESXi, Workstation y Fusion.

⚠️ CVE‑2025‑41238 – Heap Overflow en PVSCSI (CVSS 9.3)

Un desbordamiento de heap en el controlador SCSI para virtualizado (PVSCSI) permite a un atacante escribir fuera de límites y potencialmente ejecutar código en el host. En entornos ESXi, la explotación está confinada al sandbox VMX, pero en Workstation y Fusion el riesgo es más alto.

⚠️ CVE‑2025‑41239 – Divulgación de información en vSockets (CVSS 7.1)

Un problema menos severo, pero aún significativo: uso de memoria no inicializada en vSockets puede causar fugas de datos entre procesos que se comunican a través de sockets virtuales.

✅ Recomendaciones clave

Para causar el menor impacto, Broadcom ya ha liberado actualizaciones para corregir estas vulnerabilidades. Desde Encora te recomendamos actualizar a las últimas versiones vSphere (8.0U3f, 8.0U2e y 7.0U3w)

Si necesitas ayuda con las actualizaciones de Broadcom, nuestro Encora Team, estará disponible para ofrecerte más detalles y ayudarte en el proceso. 

En el caso de ser cliente de los servicios de Encora Power, no te preocupes, el equipo de Encora está trabajando en ello❤️‍🩹.