| Produkt | VMware Aria Operations – wersje 8.x VMware Cloud Foundation – wersje 4.x, 4.5.x, 5.x i 9.x.x.x VMware Telco Cloud Infrastructure – wersje 3.x i 2.x VMware Telco Cloud Platform – wersje 5.x, 4.x, 3.x i 2.x VMware Tools – wersje 13.x.x, 12.x.x i 11.x.x VMware NSX – wersje 4.2.x, 4.1.x i 4.0.x VMware NSX-T – wersja 3.x |
| Numer CVE | CVE-2025-41251 |
| Krytyczność | 8,1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L |
| Opis | Nieuwierzytelniony złośliwy podmiot może wykorzystać tę lukę do enumeracji prawidłowych nazw użytkowników, co potencjalnie może prowadzić do ataków siłowych. |
| Numer CVE | CVE-2025-41250 |
| Krytyczność | 8,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L |
| Opis | Złośliwy podmiot z uprawnieniami innymi niż administracyjne w vCenter, który ma uprawnienia do tworzenia zaplanowanych zadań, może manipulować powiadomieniami e-mail wysyłanymi w związku z zaplanowanymi zadaniami. |
| Numer CVE | CVE-2025-41252 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | Nieuwierzytelniony złośliwy użytkownik może wykorzystać tę lukę w zabezpieczeniach do enumeracji prawidłowych nazw użytkowników, co może prowadzić do nieautoryzowanych prób dostępu. |
| Aktualizacja | TAK |
| Link | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36150 |
| Produkt | VMware vCenter – wersja 7.0 i 8.0 VMware vSphere Foundation – wersje 9.x.x.x i 13.x.x.x VMware Tools – wersje 13.x.x, 12.x.x i 11.x.x VMware Aria Operations – wersje 8.x VMware Telco Cloud Infrastructure – wersje 3.x i 2.x VMware Telco Cloud Platform – wersje 5.x, 4.x, 3.x i 2.x |
| Numer CVE | CVE-2025-41244 |
| Krytyczność | 7,8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Złośliwy aktor lokalny z uprawnieniami innymi niż administracyjne, mający dostęp do maszyny wirtualnej z zainstalowanym oprogramowaniem VMware Tools i zarządzanym przez Aria Operations z włączonym protokołem SDMP, może wykorzystać tę lukę w celu podwyższenia uprawnień do poziomu roota na tej samej maszynie wirtualnej. |
| Numer CVE | CVE-2025-41245 |
| Krytyczność | 4,9/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
| Opis | Złośliwy aktor z uprawnieniami innymi niż administracyjne w Aria Operations może wykorzystać tę lukę w celu ujawnienia danych uwierzytelniających innych użytkowników Aria Operations. |
| Numer CVE | CVE-2025-41246 |
| Krytyczność | 7.6/10 |
| CVSS | AV:A/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
| Opis | Osoba atakująca z uprawnieniami innymi niż administracyjne na gościnnej maszynie wirtualnej, która jest już uwierzytelniona za pośrednictwem vCenter lub ESX, może wykorzystać ten problem, aby uzyskać dostęp do innych gościnnych maszyn wirtualnych. Skuteczne wykorzystanie luki wymaga znajomości danych uwierzytelniających docelowych maszyn wirtualnych oraz vCenter lub ESX. |
| CVE-2025-41244 | |
| Aktualizacja | TAK |
| Link | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36149 |
