VMware多产品存在整数溢出漏洞CVE-2025-41236

VMXNET3是VMware推出高性能虚拟网络适配器，专为虚拟化环境设计，采用硬件卸载和多队列等技术实现低延迟、高吞吐量网络连接。

VMXNET3是虚拟网络适配器的另一种类型，这种网卡并非物理NIC，而是完全由VMware构建的设备，是构建数字化通信桥梁的关键部件。

一、基本情况

Integer Overflow（整数溢出）是一种在计算机程序中常见的安全漏洞，这种漏洞通常发生在当一个整数变量超过其能够表示的最大值时。

当一个整数变量被增加到了最大可能值之上，可能会“回绕”到最小值并继续从那里计数，该行为取决于整数表示方式及所使用的编程语言。

栋科技漏洞库关注到VMware ESXi、Workstation和Fusion的VMXNET3虚拟网络适配器的整数溢出漏洞CVE-2025-41236，CVSS评分9.3。

二、漏洞分析

CVE-2025-41236漏洞是VMware多产品中存在一个高危漏洞，存在于VMware ESXi、Workstation和Fusion的VMXNET3虚拟网络适配器。

该漏洞是一个整数溢出漏洞，具有虚拟机本地管理权限的攻击者可利用漏洞在主机上执行代码。非VMXNET3虚拟适配器不受此问题影响。

三、影响范围

VMware Cloud Foundation ESX 9.0.0.0

VMware vSphere Foundation ESX 9.0.0.0

VMware ESXi 8.0、7.0

VMware Workstation 17.x

VMware Fusion 13.x

VMware Cloud Foundation 5.x、4.5.x

VMware Telco Cloud Platform 5.x、4.x、3.x、2.x

VMware Telco Cloud Infrastructure 3.x、2.x

四、修复建议

VMware Cloud Foundation ESX 9.0.0 ESXi-9.0.0.0100-24813472

VMware vSphere Foundation ESX9.0.0ESXi-9.0.0.0100-24813472

VMware ESXi8.0ESXi80U3f-24784735

VMware 7.0ESXi70U3w-24784741

VMware Workstation17.x17.6.4

VMware Fusion13.x13.6.4

VMware Cloud Foundation5.x、4.5.xAsync patch to ESXi80U3f-24784735

VMware Telco Cloud Platform5.x、4.xESXi80U3f-24784735

VMware Telco Cloud Platform3.x、2.xESXi70U3w-24784741

VMware Telco Cloud Infrastructure3.x、2.xESXi70U3w-24784741

五、参考链接

管理员已设置登录后刷新可查看