CVE-2025-41244

Nome do Software Vulnerável e Versões Afetadas VMware Aria Operations e VMware Tools versões anteriores às correções disponíveis desde outubro de 2024 open-vm-tools versões anteriores a 2:11.3.0-2ubuntu0~ubuntu20.04.8+esm1 VMware Cloud Foundation 4.x e 5.x, 9.xxx, 13.xxx vSphere Foundation 9.xxx, 13.xxx Telco Cloud Platform 4.x e 5.x Telco Cloud Infrastructure 2.x e 3.x

Descrição O VMware Aria Operations e o VMware Tools contêm uma vulnerabilidade de escalonamento de privilégio local. Esta falha permite que um ator local malicioso com privilégios não administrativos escale privilégios para root na mesma VM. A vulnerabilidade está relacionada ao tratamento inadequado de expressões regulares na função get version() dentro do VMware Tools e Aria Operations. Especificamente, o uso de expressões regulares excessivamente permissivas permite a execução de binários arbitrários em diretórios acessíveis a usuários sem privilégios, como /tmp/httpd. Esta vulnerabilidade tem sido ativamente explorada na natureza pelo ator de ameaça UNC5174 desde outubro de 2024. A vulnerabilidade impacta o VMware Cloud Foundation, vSphere Foundation, Telco Cloud Platform e Telco Cloud Infrastructure. O script SDMP get-versions.sh também é afetado.

Recomendações Atualize o VMware Aria Operations e o VMware Tools para as versões mais recentes disponíveis. Atualize o open-vm-tools para a versão 2:11.3.0-2ubuntu0~ubuntu20.04.8+esm1 ou posterior. Desabilite a funcionalidade SDMP se a aplicação de patches não for imediatamente viável. Monitore os sistemas em busca de atividade suspeita, incluindo a criação de binários inesperados em /tmp/httpd.