Broadcom a lancé une alerte de sécurité critique, référencée sous le code VMSA-2025-0013, concernant plusieurs vulnérabilités affectant des produits largement déployés tels que VMware ESXi, Workstation, Fusion et Tools. Ces failles, identifiées par les CVE-2025-41236 à CVE-2025-41239, ont été découvertes lors de l’événement Pwn2Own 2025 à Berlin et présentent un risque élevé de sécurité.

Les vulnérabilités, dont la gravité varie entre CVSS 6,2 et 9,3, ne disposent actuellement d’aucune solution de contournement ou workaround. Il est vivement recommandé d’appliquer sans délai les correctifs fournis par Broadcom pour protéger les environnements impactés.

Parmi les failles significatives figurent un débordement d’entiers dans l’adaptateur réseau virtuel VMXNET3, un sous-débordement dans l’interface de communication VMCI permettant la lecture hors limites et l’exécution de code, ainsi qu’un débordement de mémoire heap dans le contrôleur PVSCSI. La fuite d’informations via vSockets, due à l’utilisation de mémoire non initialisée, constitue également une vulnérabilité critique.

Les produits concernés incluent VMware ESXi 7 et 8, VMware Workstation 17.x, VMware Fusion 13.x, ainsi que VMware Tools, principalement sous Windows. Bien que vCenter Server, NSX et SDDC Manager ne soient pas directement affectés, leur mise à jour reste recommandée pour assurer la compatibilité et la sécurité.

Selon les experts, ces failles pourraient permettre une « évasion de VM », c’est-à-dire qu’un attaquant ayant compromis une machine virtuelle pourrait potentiellement prendre le contrôle de l’hyperviseur ou d’autres VM et du système hôte.

Bien que ces vulnérabilités aient été découvertes dans un cadre contrôlé et ne soient pas exploitées activement en extérieur, leur risque potentiel impose une action rapide. Aucun correctif temporaire n’étant disponible, il est conseillé de migrer les VM concernées avant toute opération de redémarrage des hôtes, notamment pour les configurations avec vMotion.

Les administrateurs doivent impérativement appliquer les patches officiels selon la procédure de Broadcom, mettre à jour VMware Tools et consulter la documentation complète pour les cas complexes. Il est également prudent de suivre les alertes de la communauté VMware pour toute nouvelle information.

Cette situation souligne l’importance cruciale d’une veille continue et de l’application rapide de correctifs, afin de garantir la sécurité des environnements virtualisés, particulièrement dans les infrastructures critiques.