Vmware · Vmware Tools · CVE-2025-41244
**Nome do Software Vulnerável e Versões Afetadas**
VMware Aria Operations e VMware Tools versões anteriores às correções disponíveis desde outubro de 2024
open-vm-tools versões anteriores a 2:11.3.0-2ubuntu0~ubuntu20.04.8+esm1
VMware Cloud Foundation 4.x e 5.x, 9.xxx, 13.xxx
vSphere Foundation 9.xxx, 13.xxx
Telco Cloud Platform 4.x e 5.x
Telco Cloud Infrastructure 2.x e 3.x
**Descrição**
O VMware Aria Operations e o VMware Tools contêm uma vulnerabilidade de escalonamento de privilégio local. Esta falha permite que um ator local malicioso com privilégios não administrativos escale privilégios para root na mesma VM. A vulnerabilidade está relacionada ao tratamento inadequado de expressões regulares na função `get version()` dentro do VMware Tools e Aria Operations. Especificamente, o uso de expressões regulares excessivamente permissivas permite a execução de binários arbitrários em diretórios acessíveis a usuários sem privilégios, como /tmp/httpd. Esta vulnerabilidade tem sido ativamente explorada na natureza pelo ator de ameaça UNC5174 desde outubro de 2024. A vulnerabilidade impacta o VMware Cloud Foundation, vSphere Foundation, Telco Cloud Platform e Telco Cloud Infrastructure. O script `SDMP get-versions.sh` também é afetado.
**Recomendações**
Atualize o VMware Aria Operations e o VMware Tools para as versões mais recentes disponíveis.
Atualize o open-vm-tools para a versão 2:11.3.0-2ubuntu0~ubuntu20.04.8+esm1 ou posterior.
Desabilite a funcionalidade SDMP se a aplicação de patches não for imediatamente viável.
Monitore os sistemas em busca de atividade suspeita, incluindo a criação de binários inesperados em /tmp/httpd.