CVE-2025-34075

Nome do Software Vulnerável e Versões Afetadas: HashiCorp Vagrant (versões afetadas não especificadas)

Descrição: Existe uma vulnerabilidade de escape de máquina virtual que requer autenticação no HashiCorp Vagrant ao utilizar a configuração padrão de pasta sincronizada. Esta configuração monta automaticamente o diretório do projeto do sistema host na VM convidada, incluindo o arquivo de configuração Vagrantfile, que é um script Ruby avaliado pelo host. Um atacante com baixos privilégios e acesso ao shell na VM convidada pode anexar código Ruby arbitrário ao Vagrantfile montado. Quando um usuário no host executa um comando do Vagrant, o código injetado é executado no host com os privilégios desse usuário. Isso possibilita a execução de código da VM convidada para o host em cenários de VM multi-tenant ou adversariais.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.