Ces trois vulnérabilités jugées de critiques à élevées déjà exploitées par les attaquants permettent de réaliser des évasions de machines virtuelles et de compromettre l'ensemble des serveurs hotes.
Broadcom a publié des correctifs d'urgence pour ses produits VMware ESXi, Workstation et Fusion afin de corriger trois vulnérabilités critiques permettant une évasion de machine virtuelle. Ces failles, déjà exploitées par des attaquants, affectent également les solutions d’entreprise basées sur VMware ESXi, notamment VMware vSphere, VMware Cloud Foundation et VMware Telco Cloud Platform.
L’un des risques majeurs concernant ces failles reste les évasions de machine virtuelle, qui permettent à un attaquant ayant accès à une machine virtuelle (VM) de prendre le contrôle de l’ensemble du serveur hôte. Signalées par Microsoft Threat Intelligence Center à Broadcom, ces failles ont déjà été exploitées d’après les recherches menées par Broadcom.
A patcher très vite
La CVE-2025-22224 (score CVSS 9.3 – critique), affecte VMware ESXi et Workstation. Elle se situe dans l’interface de communication des machines virtuelles (VMCI) et permet de réaliser un dépassement de mémoire menant à l'exécution de code arbitraire sur l’hôte. La CVE-2025-22225 (score CVSS 8.2 – élevé) concerne que VMware ESXi et peut être utilisée pour déclencher l'écriture arbitraire en mémoire du noyau, entraînant une élévation de privilèges. La CVE-2025-22226 (score CVSS 7.1 – élevé) concerne quant-à elle VMware ESXi, Workstation et Fusion via le composant HGFS, permettant une fuite de mémoire sensible.
Broadcom recommande fortement à ses clients d’installer les patchs car aucune solution de contournement n’est encore viable. Il est par ailleurs indiqué d’utiliser vMotion pour migrer les machines virtuelles vers d’autres hôtes lors des mises à jour, ou d’effectuer un redémarrage progressif des serveurs. Sans vMotion, Broadcom conseille carrément d'arrêter temporairement les VM pendant le redémarrage des hôtes.
